Tym, co pozwoli lepiej zrozumieć intencje atakującego, jego tok myślenia, a w efekcie ułatwi dobranie odpowiedniego zabezpieczenia, jest… postawienie się w roli ofiary. Atakujący doskonale wiedzą, jak ważne są jej emocje. Coraz częściej przebieg ataków wiąże się z tzw. inżynierią społeczną (social engineering), czyli manipulacyjnym działaniem, którego celem jest wpłynięcie na postępowanie użytkownika, zwykle właśnie przez pobudzenie jego emocji.

Dlatego w celu uzyskania poufnych firmowych danych wcale nie trzeba uciekać się do tworzenia złośliwego kodu i podejmowania prób zainfekowania nim korporacyjnych komputerów. Na świecie przeprowadzono wiele eksperymentów, z których jednoznacznie wynika, że nierzadko o tajne informacje wystarczy… poprosić. Najważniejszy jest tu element zaufania, więc przestępca może w korespondencji e-mailowej podszywać się pod współpracowników, szefów, partnerów czy członków rodziny. Ta forma „ataku” prawdopodobnie będzie zbierała wkrótce największe żniwo, a jedyną skuteczną metodą przeciwdziałania jest edukacja i wzbudzanie podejrzliwości (ale trzeba uważać, żeby nie przesadzić i nie stworzyć sytuacji, która działałaby na pracowników paraliżująco).

Niektórzy dostawcy rozwiązań zabezpieczających próbują przeanalizować i opisać mechanizmy ataków socjotechnicznych, aby wyłuskać z nich elementy podatne na automatyczną ingerencję oprogramowania ochronnego. Do podjęcia takich działań konieczna jednak jest bieżąca, skrupulatna analiza zachowań pracownika oraz klasyfikacja przetwarzanych przez niego treści. Dzięki temu może zostać zablokowana np. próba wysyłania e-mailem lub kopiowania na zewnętrzny nośnik dokumentów objętych klauzulą poufności (nieogłoszone wyniki finansowe, dokumentacja patentowa itp.). Wszystko to wymaga jednak metodycznej i konsekwentnej pracy oraz rygorystycznego zarządzania informacją w firmie. Z doświadczenia wiadomo, że problemy z tym mają nawet największe korporacje i placówki rządowe, również militarne.

 

Najważniejsze na świecie dane: twoje

Prawdziwą plagą jest od jakiegoś czasu ransomware. Znajduje się na pierwszym miejscu na liście kandydatów do miana zjawiska dekady wśród zagrożeń IT. Jego powstanie to kolejny przykład pazerności cyberprzestępców i umiejętności wyciągania pieniędzy. Nawet jeśli dane na zaatakowanym komputerze nie są dla nich wartościowe, z pewnością przedstawiają konkretną wartość dla użytkowników. Dlatego wrogie oprogramowanie blokuje do nich dostęp, a atakujący w zamian za ich odblokowanie żąda okupu (ang. ransom).

 

Sam pomysł nie jest nowy, pochodzi z 1989 r. Pierwszy ransomware, zbliżony do spotykanego obecnie, powstał w 2005 r. Natomiast nowa era rozpoczęła się w 2013 r., wraz z pojawieniem się CryptoLockera – pierwszego wrogiego programu, w którym do ściągania okupu przestępcy wykorzystali cyberwalutę bitcoin. Gwarancja anonimowości uruchomiła lawinę, z którą przez pewien czas branża IT nie mogła sobie poradzić. Do płacenia okupu przyznawały się nawet oddziały policji w największych i teoretycznie najlepiej zabezpieczonych krajach na świecie, jak też wiele placówek medycznych, rządowych oraz oczywiście zwykłych firm i użytkowników prywatnych. Zarażane są nie tylko komputery, ale też telefony, serwery NAS i telewizory smart TV.

Dostęp do cennych danych może być blokowany na dwa sposoby. W pierwszych generacjach ransomware’u dochodziło tylko do zablokowania ekranu i wyświetlenia komunikatu z żądaniem zapłaty za odblokowanie. To była metoda działająca jedynie na najmniej doświadczonych użytkowników, bowiem często do odblokowania wystarczyło ręczne zamknięcie danego procesu lub po prostu restart komputera. Dziś ransomware szyfruje pliki znajdujące się na dyskach lokalnych i wymiennych, zamapowanych dyskach sieciowych, a nawet zamapowanych dyskach w takich usługach jak Dropbox.

Wykorzystywany jest mechanizm szyfrowania asymetrycznego lub inne, jeszcze bardziej zaawansowane metody, których lokalne złamanie bywa trudne lub wręcz niemożliwe. Ofiarom wyznacza się termin zapłaty, informując, że jeśli tego nie zrobią, klucze wykorzystane do zaszyfrowania ich danych zostaną zniszczone. Ale zdarzało się też, że mimo wypłacenia okupu ofiara klucza deszyfrującego nie otrzymywała…

Ransomware rozpowszechniany jest najczęściej w phishingowych wiadomościach e-mail i zazwyczaj ukryty w załącznikach, takich jak pliki: .zip, .pdf, .doc, .exe, .js i inne. Ponieważ jest to konkretny kod wykonywalny, teoretycznie jego sygnatura bez problemu powinna być rozpoznawana przez oprogramowanie antywirusowe. Wiedzą o tym twórcy złośliwego kodu, więc poddawany jest on ciągłym modyfikacjom, aby utrudnić jego wykrycie. Przy tworzeniu polityki bezpieczeństwa firmy konieczne jest więc założenie, że istnieje duże ryzyko uruchomienia kodu ransomware, i przeciwdziałanie – gdzie tylko się da – jego skutkom.

O zagrożeniach po polsku

Obraz negatywnego wpływu zagrożeń na komfort użytkowników prywatnych, ale także na prowadzenie biznesu, świetnie oddaje obszerny „Raport roczny z działalności CERT Polska 2016”, opublikowany niedawno przez NASK. Computer Emergency Response Team to pierwszy w Polsce, utworzony w 1996 r., zespół reagowania na incydenty cybernetyczne. W raporcie przedstawiony jest przede wszystkim krajobraz bezpieczeństwa polskiego i globalnego Internetu, widzianego z perspektywy zgłoszeń obsługiwanych przez zespół CERT oraz jego własnej działalności badawczej.

W CERT Polska najczęściej analizowanym typem incydentu był phishing – stanowił ponad połowę wszystkich przypadków. W porównaniu z poprzednimi latami w zauważalny sposób wzrosła liczba stron phishingowych oraz phishingu rozsyłanego przez e-maile. Nasiliła się również dystrybucja złośliwego oprogramowania, zarówno dobrze już znanego, jak i nowych wariantów. Przestępcy posługują się szerokim wachlarzem rozwiązań, szczególnie w przypadku kradzieży oszczędności z wykorzystaniem urządzeń mobilnych.

Według inżynierów CERT dosyć dużym zagrożeniem w Polsce jest ransomware. Głównymi drogami infekcji są wiadomości e-mail z załącznikami oraz exploit kity – wciąż jedna z najskuteczniejszych metod infekcji złośliwym oprogramowaniem, często wykorzystywana także w Polsce.

 

Jak Feniks z popiołów

Ransomware tchnął nowe życie w dwie dziedziny branży IT, o których użytkownicy trochę ostatnio zaczęli zapominać: oprogramowanie antywirusowe i backup. W kontekście zmieniającego się rodzaju zagrożeń przeprowadzono już wiele dyskusji (głównie jałowych) o bezsensie stosowania sygnaturowych antywirusów, ale ransomware uciął je wszystkie. Mimo pojawiającego się w masowej skali zmutowanego kodu, to antywirus jest najlepszym zabezpieczeniem przed uruchomieniem rozpoznanego już wcześniej ransomware’u. Rzecz jasna nie ochroni przed wszystkim, ale z pewnością w dużym stopniu zminimalizuje ryzyko.

Natomiast o zmierzchu rozwiązań backupowych dyskutowano czasem w kontekście braku czasu na wykonywanie tej operacji oraz możliwości jej zastąpienia replikacją danych albo wersjonowaniem plików. Także w tym przypadku pojawienie się ransomware’u zakończyło wszelkie dyskusje. Po prostu backup zapewnia najtańsze i najszybsze odzyskanie zaszyfrowanych plików. Ważne tylko, aby ten proces zdefiniować, mając w świadomości mechanizm działania wrogiego oprogramowania. Potrafi ono zaszyfrować dane także na sieciowych serwerach plików, do których podłączony jest komputer, więc backup nie może polegać wyłącznie na przekopiowaniu plików na dysk sieciowy. Warto korzystać z mechanizmu migawek (snapshot), a pliki dodatkowo kopiować na kolejny, podłączony do macierzy nośnik zewnętrzny i zapewnić ich wersjonowanie.

Plan przeciwdziałania skutkom ataków DDoS

Inżynierowie F5 Networks opracowali listę działań, które należy podjąć w celu skutecznego odparcia ataku DDoS:

 1. Sprawdzenie, czy na pewno mamy do czynienia z atakiem – złą interpretację niepoprawnej pracy infrastruktury IT może spowodować błąd serwera DNS, niepoprawnie skonfigurowana czarna lista lub routing albo niepoprawna praca aplikacji. Dobrym sposobem jest upewnienie się, czy „z zewnątrz” mamy dostęp do usługi lub aplikacji.

 2. Kontakt z menedżerami zespołu odpowiedzialnego za atakowany system – mogą dostarczyć unikalnych informacji dotyczących transferu danych i wzorców generowanego ruchu.

 3. Ocena stanu aplikacji i ich wpływu na biznes – warto wcześniej dokonać priorytetyzacji oprogramowania i usług, aby w chwili ataku wiedzieć, czy unieruchomiona została np. aplikacja odpowiedzialna bezpośrednio za generowanie zysku przedsiębiorstwa, czy też drugorzędna.

 4. Dostęp dla zaufanych użytkowników – należy stworzyć białą listę użytkowników (pracowników, partnerów biznesowych, regionów geograficznych), którzy będą mieli zawsze zagwarantowany dostęp do zasobów IT.

 5. Ocena parametrów ataku – czy jest wolumetryczny, asymetryczny, czy przeciążający zasoby lub wykorzystujący lukę umożliwiającą przeprowadzenie ataku?

 6. Ustalenie źródła ataku – jeżeli źródłem są urządzenia z konkretnego kraju lub regionu, można łatwo odciąć ich dostęp do serwerów DNS.

 7. Skorzystanie z narzędzi analizujących wzorce ruchu – ich znajomość pozwoli dobrać środki ochrony.

 8. Zwiększenie poziomu ochrony aplikacji – symulowanie różnych rodzajów ataku umożliwi wykrycie słabych punktów i ich eliminację.

 9. Ograniczenie połączeń – jeśli wszystkie metody ochrony zawiodły, trzeba wprowadzić limity połączeń.

10. Działania public relations – przygotowanie komunikatu dla mediów i pracowników.

 

Ochronę przed skutkami wykonanego kodu ransomware można zastosować też na wielu pośrednich poziomach. Najbardziej oczywista jest intensyfikacja działań w celu wyeliminowania docierającego do użytkowników spamu i phishingu, bo najczęściej tam znajduje się przyczyna ich problemów. Dostawcy rozwiązań do ochrony sieci cały czas powiększają listy blokowanych adresów DNS, pod którymi funkcjonują centra Command & Control cyberprzestępców zarządzające pracą złośliwego kodu i kontrolujące przebieg uzyskania okupu oraz wygenerowania klucza deszyfrującego.

Mechanizm pracy oprogramowania ransomware jest powtarzalny i w jego schemacie można znaleźć punkty, w których szyfrowanie da się zablokować. Wystarczy „uczulić” komputer na fakt podjęcia próby dostępu w krótkim czasie do wielu plików użytkownika (wyjątek trzeba zrobić dla oprogramowania backupowego) lub edycji różnych rodzajów plików przez aplikację, która do tego zwyczajowo nie służy (np. do edycji plików tekstowych, arkuszy kalkulacyjnych, prezentacji powinny być uprawnione tylko właściwe aplikacje z pakietu biurowego). Firmy oferujące oprogramowanie zabezpieczające oraz rozwiązania do zarządzania infrastrukturą IT starają się wzbogacać listę funkcji swoich produktów, aby właśnie w ten sposób zapewnić dodatkową ochronę.

Internet rzeczy czy… Internet zagrożeń?

Rozwiązania Internet of Things coraz częściej – i słusznie – zaczynają być określane mianem Internet of Threats. Analitycy, którzy dokonywali przeglądu ich bezpieczeństwa, zgodnie twierdzą, że większość z nich nigdy nie powinna być podłączona do sieci. Furtką do ataku mogą stać się sieciowe kamery, żarówki, cyfrowe zegarki, elektroniczne nianie, a nawet dziecięce zabawki.

Naturalnie taka okazja nie umknęła uwadze cyberprzestępców. Owocem ich pracy jest bot Mirai, który – wykorzystując słabe zabezpieczenia (lub ich brak) tysięcy kamer internetowych, urządzeń DVR (Digital Video Recorder) lub zwykłych routerów – dokonywał ataków DDoS i przyczynił się do niedostępności takich serwisów jak: reddit.com, spotify.com

i nytimes.com, oraz np. usług świadczonych przez firmy Dyn i OVH. Jak podkreślają inżynierowie CERT Polska, twórcy Mirai są na tyle bezczelni, że po zaatakowaniu danego urządzenia skanują je w celu wykrycia „konkurencyjnego” złośliwego kodu i neutralizują go.

Mirai przeszukuje Internet w poszukiwaniu nowych urządzeń, na które stara się zalogować przy użyciu zestawu domyślnych lub łatwych do odgadnięcia loginów i haseł. Niestety, jego kod źródłowy został upubliczniony pod koniec września 2016 r. Od tego momentu powstało wiele odrębnych botnetów Mirai, zarządzanych przez różne osoby. Bot zaczął być również sprzedawany w sieci jako usługa, na rynku cyberprzestępczym kosztuje od 50 do 7,5 tys. dol. za jednodniowy atak.

Według przedstawicieli CERT Mirai działa także w Polsce. Średnia dzienna liczba aktywnych botów w 2016 r. to były 7283 urządzenia, rekordowa: 14?054. Według informacji opublikowanych w raporcie przez organizację CyberGreen na temat poziomu ryzyka infekcji botem Mirai i liczby przejętych urządzeń Polska zajmuje 14. miejsce na świecie wśród 238 badanych krajów (dane z 16 stycznia 2017). Na pierwszym miejscu znajdują się Chiny, Rosja na 6., a USA na 13. Na całym świecie w 2016 r. Mirai zaatakował aż 2,5 mln urządzeń IoT.

 

Pocieszający jest też fakt, że twórcy ransomware’u popełniają wiele błędów, głównie podczas implementacji modułu szyfrującego. Dzięki temu autorom oprogramowania antywirusowego udało się opracować wiele narzędzi deszyfrujących (z części można korzystać bezpłatnie). Usługę odzyskiwania zaszyfrowanych danych wprowadził też do oferty Kroll Ontrack.

 

Wszyscy na jednego

Oczywiście ransomware to niejedyny problem związany z cyberochroną. Kolejnym, budzącym równie duże emocje, są ataki typu DDoS (Distributed Denial of Service), za pomocą których utrudniane jest funkcjonowanie wybranych instytucji lub dokonywana próba wymuszenia okupu. Zaobserwowano też przypadki długotrwałych ataków na firmy, w wyniku których spadała ich giełdowa wartość, po czym były przejmowane przez konkurencję.

Do przeprowadzenia ataku DDoS cyberprzestępcy wykorzystują sieć zarażonych złośliwym oprogramowaniem komputerów zombie lub innych podłączonych do Internetu urządzeń (szczegóły w ramce powyżej), czekających tylko na sygnał z centrum C&C. W rekordowo dużych sieciach botnet znajdują się nawet setki tysięcy urządzeń, z których można rozpocząć atak. Dzięki temu jego skala nierzadko sięga setek gigabajtów na sekundę, a zaobserwowano już ataki przekraczające jeden terabajt na sekundę.

Z perspektywy nieprzygotowanego administratora trudno odróżnić atak (szczególnie o niewielkiej skali) od zwykłego, ale z jakiegoś powodu nasilonego, ruchu. Dlatego, jeżeli przedsiębiorstwo podejrzewa, że może stać się ofiarą, powinno się odpowiednio przygotować. Administratorzy muszą być świadomi, że DDoS uderzy w najczulsze miejsca, z reguły bowiem jego przeprowadzenie poprzedza rekonesans, podczas którego atakujący starają się odkryć wrażliwe punkty w firmowej infrastrukturze, stanowiące jej wąskie gardło. A zaatakowanych może być wiele obszarów: serwery DNS (atak wolumetryczny), procesory w serwerach (przeciążenie), moduły szyfrujące SSL, pamięć RAM, warstwa aplikacyjna w serwerach (konkretne aplikacje obciążane są nietypowymi danymi, do przetworzenia których potrzeba więcej mocy obliczeniowej) itd.

Metod obrony przed atakami DDoS jest kilka. Najskuteczniejsza to skorzystanie z oferty profesjonalnego usługodawcy, który zapewni „czyszczenie” ruchu internetowego w chmurze. Dysponuje on łączem internetowym o bardzo dużej przepływności, ale też dostępnym przez całą dobę personelem i narzędziami, które pozwolą na odparcie ataku.

Firmy, które chcą zapewnić ochronę swojego lokalnego centrum danych, powinny zainwestować przede wszystkim w rozwiązania zapewniające analizę behawioralną ruchu sieciowego oraz monitoring obciążenia serwerów i aplikacji. Obserwacja trendów pozwoli np. na zauważenie tzw. pełzających ataków, dokonywanych co godzinę przez 15 minut w celu zmylenia zarówno administratorów, jak i automatów, które myślą, że atak był krótkotrwały i szybko ustał. Dlatego rozwiązanie ochronne powinno kompleksowo analizować działanie wszystkich zagrożonych atakiem elementów centrum danych.