RAPORT O ZAGROŻENIACH BEZPIECZEŃSTWA WITRYN INTERNETOWYCH 2013 CZĘŚĆ 1

Transkrypt

1 RAPORT O ZAGROŻENIACH BEZPIECZEŃSTWA WITRYN INTERNETOWYCH 2013 CZĘŚĆ 1

2 POWITANIE Zapraszamy do zapoznania się z raportem firmy Symantec o zagrożeniach bezpieczeństwa witryn internetowych w 2013 roku. Niniejszy dokument został utworzony na podstawie publikowanego przez nas co rok większego raportu o zagrożeniach bezpieczeństwa pochodzących z Internetu, Internet Security Threat Report. W niniejszej skróconej wersji opisano zagrożenia, które mają wpływ na witryny internetowe firm i działalność biznesową online. Analizując miniony rok kalendarzowy, przedstawiamy informacje ilustrujące obecny stan Internetu. W Internecie reputacja i sukces firmy często są mierzone skalą zaufania klientów wobec zabezpieczeń firmowej witryny internetowej. Warto więc wiedzieć, jak to zaufanie zbudować i utrzymać. Od ponad dekady kluczem do wiarygodności w Internecie jest technologia SSL/TLS. Ten standard nadal będzie dominować tam, gdzie potrzebny jest najwyższy poziom ochrony przed ewoluującymi zagrożeniami pochodzącymi z Internetu. I choć jest to zaawansowana technologia najwyższej klasy, jej cel jest prosty: sprawić, aby Internet był bezpieczniejszym miejscem do zawierania transakcji dla firm, ich klientów i każdego, kto komunikuje się online. Niniejszy dokument stanowi źródło wiedzy na temat występujących zagrożeń oraz możliwości zabezpieczania przed nimi firmy i jej infrastruktury. Aby uzyskać więcej informacji, zadzwoń do nas pod numer lub odwiedź witrynę Symantec-wss.com/pl. s. 2

3 WPROWADZENIE Firma Symantec stworzyła jedno z najbardziej wyczerpujących na świecie źródeł informacji na temat zagrożeń bezpieczeństwa pochodzących z Internetu. Jest ono oparte na globalnej sieci Symantec Global Intelligence Network, złożonej z około 69 milionów czujników ataków, rejestrujących tysiące zdarzeń na sekundę. Sieć ta monitoruje aktywność zagrożeń w ponad 157 krajach i obszarach przy użyciu produktów oraz usług firmy Symantec, takich jak Symantec DeepSight Threat Management System, Symantec Managed Security Services, rozwiązania Symantec Website Security Solution oraz produkty Norton dla użytkowników indywidualnych, a także za pomocą zewnętrznych źródeł danych. Ponadto Symantec ma jedną z najobszerniejszych na świecie baz danych dotyczących luk w zabezpieczeniach, obejmującą ponad luki wykryte (w ponaddwudziestoletnim okresie) w przeszło produktach ponad producentów. Dane dotyczące spamu, phishingu i szkodliwego oprogramowania są rejestrowane za pośrednictwem różnych źródeł, na przykład sieci Symantec Probe Network (jest to system ponad 5 milionów fikcyjnych kont), usług Symantec.cloud oraz szeregu rozwiązań firmy Symantec z dziedziny zabezpieczeń. Skeptic, autorska technologia heurystyczna stosowana w usługach Symantec.cloud, jest w stanie wykrywać nowe i zaawansowane ataki ukierunkowane, zanim dosięgną sieci klientów. Każdego dnia w 14 centrach danych jest przetwarzanych ponad 3 miliardy wiadomości i ponad 1,4 miliarda żądań dostępu do sieci WWW. Ponadto firma Symantec gromadzi informacje dotyczące phishingu za pośrednictwem rozbudowanej wspólnoty zrzeszającej przedsiębiorstwa, producentów rozwiązań z dziedziny zabezpieczeń i ponad 50 milionów użytkowników indywidualnych, która została założona z myślą o przeciwdziałaniu oszustwom. Są to niezastąpione źródła danych dla analityków firmy Symantec. Umożliwiają wykrywanie, analizowanie i kompetentne opisywanie tendencji w zakresie ataków, aktywności szkodliwego kodu, phishingu oraz spamu. Efektem jest coroczny raport firmy Symantec o zagrożeniach bezpieczeństwa pochodzących z Internetu, Internet Security Threat Report, który dostarcza przedsiębiorstwom, małym firmom i użytkownikom indywidualnym informacji niezbędnych do skutecznej ochrony systemów zarówno obecnie, jak i w przyszłości. s. 3

4 STRESZCZENIE Oto najważniejsze tendencje w roku: Małe firmy są dla hakerów najłatwiejszym celem Ubiegłoroczne dane wyraźnie pokazują, że celem ataków może stać się każda firma, niezależnie od wielkości. To nie przypadek. W roku 50% ataków ukierunkowanych było przypuszczanych na firmy zatrudniające mniej niż 2500 osób. Największy wzrost liczby ataków ukierunkowanych, do których doszło w roku, odnotowano w przypadku firm zatrudniających mniej niż 250 osób stanowią one 31% wszystkich tego typu ataków. Jest to szczególnie niedobra wiadomość, ponieważ według wyników ankiety przeprowadzonej przez firmę Symantec w małych firmach panuje przekonanie, że są one odporne na ataki. Jednak pieniądze skradzione małej firmie z pewnością wydaje się równie łatwo jak te skradzione dużemu przedsiębiorstwu. I choć małe firmy nieraz przyjmują założenie, że nie mają nic, co mogliby chcieć ukraść hakerzy, nie wolno zapominać, że przechowują one informacje o klientach, tworzą własność intelektualną i mają pieniądze w bankach. Wprawdzie można powiedzieć, że korzyści z ataku na małą firmę są mniejsze niż w przypadku ataku na duże przedsiębiorstwo, jednak jest to rekompensowane z nawiązką przez fakt, że małe firmy z reguły mniej dbają o zabezpieczenia komputerowe. Wiadomo, że okazja czyni złodzieja. W przypadku cyberprzestępstw taką okazją wydają się właśnie małe firmy. Co gorsza, brak w małych firmach odpowiednich praktyk w zakresie zabezpieczeń niesie zagrożenie dla nas wszystkich. Atakujący powstrzymani przez systemy obronne dużej firmy często uciekają się do łamania słabszych zabezpieczeń stosowanych w małej firmie współpracującej z ostatecznym celem ataku wykorzystują mniejszą firmę jako punkt dostępu do tej większej. Ponadto małe firmy i instytucje mogą stać się pionkami w grze prowadzonej w celu dokonania bardziej wyrafinowanych ataków. W wyniku udostępnienia gotowych zestawów narzędzi do ataków w roku liczba ataków na witryny internetowe wzrosła o jedną trzecią. Wiele z nich zostało zainicjowanych ze zhakowanych witryn internetowych małych firm. Ten ogromny wzrost liczby ataków oznacza większe ryzyko infekcji dla nas wszystkich. Jednak jak wynika z informacji podanych w naszym ubiegłorocznym artykule przeglądowym dotyczącym działalności grupy Elderwood, witryny internetowe małych firm i instytucji mogą być wykorzystywane jeszcze podlej w ramach ataków ukierunkowanych. Jako uzupełnienie ataków opartych na phishingu gangi parające się szpiegostwem internetowym przechwytują te witryny i czatują na wizyty z obranych za cel systemów, aby je następnie zainfekować. Tego rodzaju atak, określany jako watering hole ( wodopój ), to jeszcze jeden sposób hakerów na wykorzystanie słabości zabezpieczeń jednego podmiotu w celu złamania mocnych systemów obronnych innego podmiotu. Autor szkodliwego oprogramowania działa jak Wielki Brat Jeśli podejrzewasz, że ktoś narusza Twoją prywatność w Internecie, prawdopodobnie masz rację. 50% szkodliwych programów na urządzenia przenośne opracowanych w roku próbowało ukraść nasze informacje lub śledziło nasze poczynania. Cyberprzestępcy bez względu na to, czy atakują nasze komputery, telefony komórkowe, czy serwisy społecznościowe oczekują, że szpiegowanie nas przyniesie im konkretne korzyści. Ostatecznym celem jest zdobycie pieniędzy. Ich metoda polega na poznaniu naszych informacji bankowych, naszych danych osobowych oraz numerów telefonów i adresów naszych znajomych i współpracowników. Zdarzają się też kradzieże tożsamości. Najbardziej niepokojącym przejawem działań autorów szkodliwego oprogramowania, którzy wiedzą o nas praktycznie wszystko, są ataki ukierunkowane. Przygotowanie udanych ataków ukierunkowanych wymaga od hakerów zdobycia danych na nasz temat. Będą więc szukać naszych adresów oraz informacji o naszym stanowisku, naszych zainteresowaniach zawodowych, a nawet o naszym udziale w konferencjach i odwiedzanych przez nas witrynach internetowych. Wszystkie te dane są następnie opracowywane w celu przeprowadzenia skutecznego ataku ukierunkowanego. Gdy narzędzia hakera przedostaną się na nasze urządzenie, mają za zadanie pozyskać jak najwięcej informacji. Jeśli atak ukierunkowany nie zostanie wykryty, jego łupem mogą paść wiadomości , pliki i dane kontaktowe zbierane przez lata.narzędzia hakerów potrafią także rejestrować naciśnięcia klawiszy, udostępniać s. 4

5 STRESZCZENIE podglądy ekranu oraz włączać wbudowane w nasze komputery mikrofony i kamery. Hakerzy stosujący ataki ukierunkowane są ucieleśnieniem Orwellowskiego Wielkiego Brata. W roku najbardziej narażeni na ataki byli tzw. pracownicy wiedzy, którzy tworzą własność intelektualną pożądaną przez atakujących (27% wszystkich celów w r.) oraz pracownicy zajmujący się sprzedażą (24% ataków w r.). Zainteresowanie dyrektorami generalnymi firm jako celami ataków zmalało w r. o 8%. Luki zero-day na zawołanie hakerów W przypadku luk zero-day utrzymuje się tendencja wzrostowa. W r. zgłoszono ich 14. W ostatnich trzech latach winę za dużą część wzrostu liczby ataków dokonanych przy użyciu luk zero-day można przypisać dwom grupom hakerskim, a mianowicie autorom robaka Stuxnet oraz grupie Elderwood Gang. W 2010 r. robak Stuxnet odpowiadał za 4 z 14 wykrytych luk zero-day. Elderwood Gang odpowiadał za 4 z 14 luk tego typu wykrytych w r. Ponadto grupa ta stosowała ataki zero-day w 2010 i 2011 r. i jak dotąd wykorzystała co najmniej jedną taką lukę w 2013 r. Hakerzy wykorzystują tyle luk zero-day, ile jest im potrzebnych, a nie wszystkie, które są dostępne. Ciekawa jest odmienność strategii wykorzystywania tych luk stosowanych przez Stuxnet i Elderwood. Stuxnet, wykorzystujący wiele luk zero-day w jednym ataku, pozostaje aberracją. Na podstawie naszej dzisiejszej wiedzy był to jeden atak skierowany na jeden cel. Aby zapewnić jego skuteczność, wykorzystano wiele luk zero-day, więc nie było potrzeby atakować ponownie. Identyfikacja sprawcy nie jest prosta Niektórzy sprawcy ataków ukierunkowanych nawet nie starają się ukrywać. W sierpniu wykryto szkodliwe oprogramowanie o nazwie Shamoon. Jego zadaniem było wyczyszczenie dysków twardych komputerów w zakładach energetycznych na Bliskim Wschodzie. Odpowiedzialność za te ataki wzięła na siebie grupa nazywająca samą siebie Cutting Sword of Justice ( Tnący Miecz Sprawiedliwości ). W ciągu r. miało miejsce wiele ataków typu rozproszona odmowa usługi (DDoS) skierowanych przeciw instytucjom finansowym. Do odpowiedzialności za nie przyznała się grupa Izz ad- Din al-qassam Cyber Fighters. Te i szereg innych ataków wydają się klasycznymi przypadkami tzw. haktywizmu. Jednak udowodnienie sprawstwa i motywu nie jest proste nawet wtedy, gdy ktoś bierze winę na siebie. Mówi się, podobno również w kręgach wywiadu, że grupy Cutting Sword of Justice oraz Qassam Cyber Fighters są wspierane przez rząd jednego z państw. Pozornie tylko prostą sprawę aktów haktywizmu komplikuje ostrzeżenie FBI dla instytucji finansowych, że niektóre ataki DDoS są w rzeczywistości dywersją służącą odwróceniu uwagi. Ataki te są przypuszczane przez cyberprzestępców przed dokonaniem lub po dokonaniu nieuprawnionej transakcji i są próbą zamaskowania oszustwa oraz utrudnienia działań zapobiegawczych. Z kolei Elderwood Gang wykorzystuje jedną lukę zero-day w każdym ataku, dopóki nie zostanie ona ujawniona opinii publicznej. Gdy tak się stanie, grupa zaczyna korzystać z nowej luki. Wrażenie jest takie, jakby Elderwood Gang dysponował nieograniczoną pulą luk zero-day i był w stanie rozpocząć wykorzystywanie nowej luki, gdy tylko zajdzie taka potrzeba. Miejmy nadzieję, że w rzeczywistości tak nie jest. s. 5

6 BEZPIECZEŃSTWO W ROKU NA OSI CZASU

7 BEZPIECZEŃSTWO W ROKU NA OSI CZASU 01 Styczeń 02 Luty Naruszenie integralności danych: W atakach hakerskich na sklep odzieżowy Zappos zostają skradzione 24 miliony tożsamości. Szkodliwy kod: Zostaje wykryte oszustwo oparte na szkodliwych wtyczkach do przeglądarek Firefox i Chrome. Botnet: Powraca botnet Kelihos po czterech miesiącach od jego wyeliminowania. Urządzenia przenośne: Firma Google zapowiada Google Bouncer, skaner aplikacji przeznaczony do sklepu Google Play. Botnet: Analitycy eliminują nową wersję botneta Kelihos, który jeszcze w marcu powraca w innej formie. 03 Marzec Ataki hakerów: Zostaje aresztowanych sześciu domniemanych członków grupy hakerskiej LulzSec. Botnet: Analitycy ds. zabezpieczeń wyłączają kluczowe serwery botneta Zeus. Naruszenie integralności danych: Zostają złamane zabezpieczenia firmy obsługującej płatności dla znanych instytucji wydających karty kredytowe, w tym Visa i MasterCard, wskutek czego wyciekają dane 1,5 miliona kont 1. Urządzenia przenośne: Zostaje wykryte oszustwo ukierunkowane na użytkowników iphone ów przeprowadzane przez gang Opfake (bez użycia szkodliwego oprogramowania). 04 Kwiecień 05 Maj Komputery Mac: Ponad komputerów Mac zostaje zainfekowanych koniem trojańskim OSX.Flashback za pośrednictwem niepoprawionej luki w zabezpieczeniach Javy. Komputery Mac: Zostaje wykryty drugi koń trojański przeznaczony na komputery Mac, OSX.Sabpab. Również ten wirus w celu złamania zabezpieczeń komputera wykorzystuje luki w zabezpieczeniach Javy. Serwisy społecznościowe: Zostają wykryci oszuści wykorzystujący serwisy społecznościowe Tumblr i Pinterest. Szkodliwe oprogramowanie: Zostaje wykryty program szpiegujący W32.Flamer. Podmioty certyfikujące: Firma Comodo, duży podmiot certyfikujący, uwierzytelnia i wystawia prawdziwe certyfikaty do podpisywania kodu fikcyjnej firmie stworzonej przez cyberprzestępców. Fakt ten odkryto dopiero w sierpniu. s. 7

8 BEZPIECZEŃSTWO W ROKU NA OSI CZASU 06 Czerwiec Naruszenie integralności danych: Serwis LinkedIn pada ofiarą kradzieży danych, w wyniku czego wyciekają informacje o milionach kont. Szkodliwe oprogramowanie: Zostaje wykryty koń trojański o nazwie Trojan.Milicenso, który powoduje, że drukarki podłączone do sieci drukują duże zadania złożone z bezsensownych ciągów znaków. Botnet: Analitycy zabezpieczeń wyłączają botnet Grum. Szkodliwe oprogramowanie: W sklepie App Store firmy Apple zostaje wykryte szkodliwe oprogramowanie przeznaczone do systemu Windows (osadzone w pewnej aplikacji). 07 Lipiec Komputery Mac: Nowe zagrożenie dla komputerów Mac o nazwie OSX.Crisis otwiera tylne wejście na zhakowanych komputerach. Botnet: Zostają wyłączone serwery DNS obsługiwane przez FBI w celu zapewnienia bezpieczeństwa komputerów uprzednio zainfekowanych koniem trojańskim DNSChanger. Szkodliwe oprogramowanie: Po 2-letnim działaniu zostaje wykryty koń trojański używany do wykradania informacji japońskiego rządu. Szkodliwe oprogramowanie: Zostaje wykryty drugi wirus związany z drukarkami, W32.Printlove, który powoduje drukowanie dużych zadań złożonych z przypadkowych znaków. 08 Sierpień Ataki hakerów: Agencja informacyjna Reuters pada ofiarą szeregu ataków hakerskich skutkujących publikacją fałszywych wiadomości w witrynie agencji i na jej koncie w serwisie Twitter. Szkodliwe oprogramowanie: Zostaje wykryte szkodliwe oprogramowanie Crisis, atakujące obrazy maszyn wirtualnych VMware. Szkodliwe oprogramowanie: Zostaje wykryty robak W32.Gauss. Działanie tego robaka koncentruje się podobnie jak w przypadku robaka W32.Flamer na Bliskim Wschodzie. Podmioty certyfikujące: Zostaje wykryty i upubliczniony incydent, do którego doszło w maju z udziałem podmiotu certyfikującego Comodo. s. 8

9 BEZPIECZEŃSTWO W ROKU NA OSI CZASU 09 Wrzesień 10 Październik 11 Listopad 12 Grudzień Szkodliwe oprogramowanie: Zostaje wykryta nowa wersja zestawu narzędzi do ataków Blackhole Blackhole 2.0. Botnet: Analitycy ds. zabezpieczeń wyłączają nowy, bardzo aktywny botnet o nazwie Nitol. Urządzenia przenośne: Zostaje wykryta luka w zabezpieczeniach wersji systemu Android udostępnianej przez firmę Samsung, umożliwiająca zdalne wymazywanie danych z telefonu. Ataki DDoS: FBI ostrzega o możliwych atakach DDoS na instytucje finansowe dokonywanych jako dywersja w celu odwrócenia uwagi 2. Szkodliwe oprogramowanie: Zostaje wykryte oprogramowanie ransomware (oprogramowanie służące do wyłudzania okupu za zaszyfrowane dane) rozpowszechniane za pośrednictwem funkcji czatu Skype a. Naruszenie integralności danych: Zostają skradzione dane klientów z terminali płatniczych w sieci Barnes & Noble. Okazuje się, że atakujący stosują atak DDoS jako dywersję w celu zebrania informacji, które później umożliwiają im kradzież pieniędzy z obranego za cel banku. Ataki hakerów: Zostają wykryci włamywacze dostający się do pokoi hotelowych dzięki wykorzystaniu znanej luki w oprogramowaniu pewnej marki zamków drzwiowych. Szkodliwe oprogramowanie: Zostaje wykryty koń trojański Infostealer.Dexter atakujący terminale POS. Ataki hakerów: Atakujący wykorzystują lukę w serwisie Tumblr do rozprzestrzeniania spamu w ramach tego serwisu społecznościowego. s. 9

10 ROK W LICZBACH

11 ROK W LICZBACH WZROST O 42% Ataki ukierunkowane w r. ŚREDNIA LICZBA UJAWNIONYCH TOŻSAMOŚCI Na atak w r. NOWE LUKI W ZABEZPIECZENIACH LUKI W ZABEZPIECZENIACH URZĄDZEŃ PRZENOŚNYCH s. 11

12 ROK W LICZBACH SZACOWANA SKALA DZIENNEGO SPAMU NA ŚWIECIE (MLD) OGÓLNY WSKAŹNIK SPAMU % 75% 69% % SPAMU OGÓŁEM E DOTYCZĄCE RANDEK I SEKSU % POCZTY OGÓŁEM SZKODLIWE OPROGRAMOWANIE JAKO ADRESY URL 3% 15% 55% 24% 39% 23% OGÓLNY WSKAŹNIK WIADOMOŚCI Z WIRUSEM, 1 NA: OGÓLNY WSKAŹNIK WIADOMOŚCI Z PHISHINGIEM, 1 NA: s. 12

13 ROK W LICZBACH BOTY ZOMBI (MLN) ,1 3,4 4,5 NOWE LUKI ZERO-DAY LICZBA BLOKOWANYCH ATAKÓW NA WITRYNY DZIENNIE NOWE UNIKATOWE SZKODLIWE DOMENY WWW % WZROST LICZBY RODZIN SZKODLIWYCH PROGRAMÓW NA URZĄDZENIA PRZENOŚNE 2011 s. 13

14 ATAKI UKIERUNKOWANE HAKTYWIZM ORAZ NARUSZENIA INTEGRALNOŚCI DANYCH

15 ATAKI UKIERUNKOWANE, HAKTYWIZM ORAZ Ataki według wielkości firmy bądź instytucji obranej za cel Źródło: Symantec 50% 2501 lub więcej 50% Od 1 do 2500 Pracownicy 2501 lub więcej 9% 2% 3% Od 1501 do 2500 Od 1001 do 1500 Od 501 do % Wzrost o 13% 5% Od 251 do % Od 1 do % w 2011 r. Firmy zatrudniające powyżej 2500 osób były najczęstszymi celami ataków 50% ataków ukierunkowanych miało za cel firmy tej wielkości, niemal dokładnie taki sam odsetek jak w 2011 r. Chociaż w porównaniu do 2011 r. ogólny odsetek pozostaje na tym samym poziomie 50%, liczba ataków ukierunkowanych przypuszczanych na firmy zatrudniające powyżej 2500 osób uległa podwojeniu. Ataki ukierunkowane przypuszczane na małe firmy (od 1 do 250 pracowników) stanowiły 31% wszystkich ataków w porównaniu do 18% odnotowanych w 2011 r. ich odsetek wzrósł zatem o 13 punktów procentowych. Liczba ataków na małe i średnie firmy zwiększyła się trzykrotnie w porównaniu do 2011 r., skutkując niemal podwojeniem wartości procentowej z 18% do 31%. s. 15

16 ATAKI UKIERUNKOWANE, HAKTYWIZM ORAZ Znaczna większość (88%) zgłoszonych przypadków naruszenia integralności danych miała miejsce wskutek ataków dokonywanych przez osoby z zewnątrz. Jednak zagrożenie ze strony osób działających wewnątrz firmy również pozostaje wysokie z powodu utraconych laptopów, zagubionych nośników, umyślnych kradzieży danych dokonywanych przez pracowników czy wypadków. Obraz sytuacji dobrze oddaje fakt, że brytyjskie Biuro Inspektora Ochrony Danych Osobowych ukarało grzywną i pozwało przed oblicze sądu więcej firm z powodu przewinień wewnętrznych niż z powodu ataków spoza firmy. Większość małych i średnich firm powinna się obawiać swojego księgowego nie mniej niż anonimowego hakera MILIONÓW NARUSZEŃ INTEGRALNOŚCI DANYCH W STYCZNIU 35 LICZBA UJAWNIONYCH TOŻSAMOŚCI (MLN) JAN STY FEB LUT MAR MAR APR KWI MAY MAJ JUN CZE JUL LIP AUG SIE SEP WRZ OCT PAŹ NOV LIS DEC GRU LICZBA INCYDENTÓW INCYDENTY RAZEM Naruszenia integralności danych na osi czasu W styczniu skradziono najwięcej tożsamości w całym roku ze względu na jeden atak, w którym łupem hakerów padły ponad 24 miliony tożsamości. Przez resztę roku skradziono od 1 do 12 milionów tożsamości miesięcznie. Średnia liczba incydentów w pierwszej połowie roku wynosiła 11, w drugiej połowie roku wzrosła do 15 o 44%. s. 16

17 ATAKI UKIERUNKOWANE, HAKTYWIZM ORAZ Średni koszt naruszenia integralności danych na głowę 3 Źródło: Symantec Kraj USA Dania Francja Australia Japonia Ukraina Włochy Indonezja Analiza Średni koszt na głowę 194 USD 191 USD 159 USD 145 USD 132 USD 124 USD 102 USD 42 USD W Stanach Zjednoczonych wystąpiły najwyższe koszty w przeliczeniu na głowę 194 USD. Na drugim miejscu z nieznacznie tylko niższą kwotą uplasowała się Dania. Cyberwojna, cybersabotaż i szpiegostwo przemysłowe Ataki ukierunkowane są obecnie stałym zagrożeniem. Obrona przed nimi stała się jednym z głównych obszarów zainteresowań dyrektorów ds. bezpieczeństwa informatycznego oraz kierowników działów informatycznych. Ataki ukierunkowane są często stosowane w szpiegostwie przemysłowym mają na celu uzyskanie dostępu do poufnych informacji dostępnych na zhakowanych systemach komputerowych lub w zasobach sieciowych. Są to ataki stosunkowo rzadkie, ale też niezwykle ciężko jest się przed nimi obronić. Nie mając wystarczających dowodów, trudno przypisać sprawstwo takich ataków określonej grupie lub organizacji rządowej. Czasem motywy i zasoby używane przez hakerów wskazują, że atakujący mogą być finansowani przez organizacje rządowe, ale znalezienie konkretnych dowodów nie jest łatwe. Ataki, które mogą być wspierane przez określone państwa, ale wydają się rzadkie w porównaniu ze zwykłymi przypadkami cyberprzestępczości, często zyskują duży rozgłos. Niejednokrotnie są to najbardziej wyrafinowane i najgroźniejsze ataki hakerskie. Obecnie rządy niewątpliwie poświęcają więcej środków na strategie wojny w cyberprzestrzeni zarówno defensywne, jak i ofensywne. Najczęstsze przyczyny naruszeń integralności danych w r. Źródło: Symantec % 23 % 23 % Kradzież dokonana przez osobę z wewnątrz 6 % Przyczyna nieznana 1 % Oszustwo 40 % Hakerzy Przypadkowe upublicznienie Kradzież lub zgubienie komputera bądź dysku Hakerzy nadal odpowiadają za najwięcej naruszeń integralności danych 40% łącznej liczby. W r. takie ataki w przypadku większości firm wciąż były mało prawdopodobne, a największe zagrożenie stanowiły powszechniej stosowane ataki ukierunkowane przygotowywane dla celów szpiegostwa przemysłowego. Małe i średnie firmy coraz częściej znajdują się w obszarze zainteresowań sprawców ataków ukierunkowanych. Dzieje się tak dlatego, że mają mniej środków na walkę z tym zagrożeniem. Z drugiej zaś strony skuteczny atak może zostać wykorzystany jako punkt wyjścia do dalszych działań ofensywnych wobec większego przedsiębiorstwa, którego dana firma jest dostawcą. Szkodliwe programy, takie jak Stuxnet w 2010 r., Duqu w 2011 r. oraz Flamer i Disttrack w r., cechują się coraz wyższym poziomem wyrafinowania i niebezpieczeństwa. Na przykład wirus Shamoon użyty w atakach na saudyjską spółkę naftową potrafił wymazywać zawartość dysków twardych 4. Techniki, którymi posługują się cyberprzestępcy dla celów szpiegostwa przemysłowego, mogą też być wykorzystywane przez państwa lub organizacje rządowe do cyberataków i szpiegostwa politycznego. Wyrafinowane ataki mogą być analizowane i powielane w ten sposób takie same lub podobne techniki mogą być stosowane w atakach przeprowadzanych przy bardziej ograniczonym rozróżnianiu celów. Ponadto szkodliwe oprogramowanie opracowane na potrzeby cybersabotażu może się rozprzestrzenić poza planowany obszar działań i zainfekować inne komputery, powodując niezamierzone szkody. s. 17

18 ATAKI UKIERUNKOWANE, HAKTYWIZM ORAZ Ataki ukierunkowane na osi czasu 5 Źródło: Symantec Ghostnet Marzec 2009 Szeroko zakrojona operacja szpiegowska w Internecie Stuxnet Czerwiec 2010 Ataki Nitro Lipiec październik 2011 Cel: przemysł chemiczny Flamer i Gauss Maj sierpień Wysoce zaawansowany koń trojański Cel: Bliski Wschód Hydraq Styczeń 2010 Operacja Aurora Ataki na RSA Sierpień 2011 Ataki przy użyciu koni trojańskich Sykipot/Taidoor Cel: przemysł obronny i instytucje rządowe Elderwood Project Wrzesień Główny cel: dostawcy sprzętu i usług dla wojska. Ustalono, że ta sama grupa używała wirusa Hydraq (Aurora) w 2009 r. Zaawansowane zagrożenia trwałe i ataki ukierunkowane Ataki ukierunkowane stanowią połączenie socjotechniki i szkodliwego oprogramowania. Atakujący dociera do osób indywidualnych zatrudnionych w określonych firmach w celu wykradzenia poufnych informacji, takich jak tajemnice przedsiębiorstw czy dane klientów. W takich atakach często jest stosowane szkodliwe oprogramowanie napisane specjalnie pod kątem danego ataku, a czasem są wykorzystywane luki zero-day, przez co ataki są trudniejsze do wykrycia i potencjalnie skuteczniejsze. Główny mechanizm ataków ukierunkowanych polega na stosowaniu różnych metod ofensywnych, takich jak szkodliwe oprogramowanie dostarczane w wiadomości e-mai lub pobierane bez wiedzy użytkownika z zainfekowanej witryny internetowej, którą wedle pozyskanych informacji odwiedza zamierzony cel ataku (technika watering hole ). Zaawansowane zagrożenia trwałe (advanced persistent threat APT) są często bardzo wyrafinowane i bardziej podstępne niż ataki tradycyjne, ponieważ polegają na technikach włamań w dużym stopniu przystosowanych do założonego celu. O ile ataki ukierunkowane są spotykane coraz częściej, o tyle zaawansowane zagrożenia trwałe pozostają do dyspozycji tylko dobrze finansowanych grup hakerów atakujących cele o dużym znaczeniu. Główną przyczyną są wysokie wymagania w zakresie zasobów. W r. firma Symantec odnotowała wzrost wskaźnika liczby ataków ukierunkowanych o 42% w porównaniu do poprzednich 12 miesięcy. Podczas gdy głównym celem ataków (24%) stał się przemysł produkcyjny, dało się zauważyć, że są one przypuszczane na rozmaite podmioty nie tylko duże przedsiębiorstwa, lecz coraz częściej również małe i średnie firmy. W 2011 r. 18% ataków ukierunkowanych było wymierzonych w firmy zatrudniające mniej niż 250 osób, ale do końca r. odsetek ten wzrósł do 31%. Socjotechnika i ataki pośrednie Bywa, że atakujący obierają za cel mniejsze firmy z łańcucha dostawców, ponieważ są one bardziej podatne na ataki, mają dostęp do cennej własności intelektualnej oraz stanowią pomost do większych firm bądź instytucji. Ponadto one same również są atrakcyjnym celem. Jest ich więcej niż wielkich korporacji, mają wartościowe dane i często są gorzej chronione niż większe firmy. Hakerzy mogą na przykład przeniknąć do systemów małego dostawcy i wykorzystać je jako punkt wyjścia ataku na większą firmę. Mogą wykorzystać dane osobowe, wiadomości i pliki określonego użytkownika z mniejszej firmy do starannego spreparowania przesyłki przeznaczonej dla kogoś w firmie stanowiącej ostateczny cel ataku. s. 18

19 ATAKI UKIERUNKOWANE, HAKTYWIZM ORAZ Proces web injection stosowany w atakach watering hole 6 Źródło: Symantec 1. Określenie profilu celu Atakujący wybierają charakterystykę ofiary oraz rodzaj witryn internetowych, które odwiedza. 2. Test Atakujący testują witryny internetowe pod kątem luk w zabezpieczeniach. 3. Zhakowanie Kiedy atakujący wykryje niedostatecznie zabezpieczoną witrynę internetową, wstawia do niej kod JavaScript lub HTML przekierowujący ofiarę do odrębnej witryny, która zawiera kod wykorzystujący wybraną lukę w zabezpieczeniach. 4. Czatowanie Zhakowana witryna internetowa oczekuje na sposobność zainfekowania zamierzonej ofiary przy użyciu luki zero-day, niczym lew czatujący na ofiarę przy wodopoju (ang. watering hole). W r. odnotowaliśmy duży wzrost liczby ataków na pracowników działów badawczo-rozwojowych i handlowych w porównaniu do poprzedniego roku. Można wywnioskować, że w celu uzyskania dostępu do firm atakujący zarzucają większą sieć i obierają za cel pracowników zajmujących mniej eksponowane stanowiska poniżej poziomu kierowniczego. Wzrost liczby ataków jest szczególnie wysoki w tych dwóch obszarach razem wziętych. Jednak pracownicy funkcjonujący w innych obszarach, obsadzeni np. na stanowiskach pomocniczych, również są w dużym stopniu narażeni. Hakerzy nadal stosują socjotechniki w atakach ukierunkowanych. Na przykład wysyłają wiadomości pochodzące pozornie od urzędników Unii Europejskiej lub przedstawicieli agencji ds. bezpieczeństwa w Stanach Zjednoczonych, a kierowane do innych urzędników państwowych, albo fałszywe wiadomości zawierające informacje o nowych planach zamówień od potencjalnych klientów z sektora administracji państwowej, np. wojska. To dowodzi, że hakerzy zbierają mnóstwo informacji i świetnie znają motywy kierujące odbiorcami, co zwiększa prawdopodobieństwo, że ofiary otworzą załączniki zawierające szkodliwe oprogramowanie. Ataki watering hole Największą innowacją w dziedzinie ataków ukierunkowanych są tzw. ataki watering hole. Polegają one na zhakowaniu wiarygodnej witryny, którą odwiedza przyszła ofiara, a następnie wykorzystaniu tej witryny do zainstalowania szkodliwego oprogramowania na komputerze obiektu ataku. Na przykład w tym roku w skrypcie monitorującym 7 witryny pewnej organizacji humanitarnej wykryto wiersz kodu, który mógł spowodować złamanie zabezpieczeń komputera. Do infekcji gości była wykorzystywana nowa luka zero-day w programie Internet Explorer. Według naszych danych w ciągu 24 godzin witrynę tę odwiedziło ryzykując infekcję 500 osób z różnych dużych firm i organizacji rządowych. W tym ataku hakerzy z Elderwood Gang użyli zaawansowanych narzędzi i wykorzystali lukę zero-day, dowodząc, że są niezwykle dobrze wyposażonym zespołem wspieranym przez dużą organizację przestępczą lub jedno z państw 8. s. 19

20 ZALECENIA Zakładaj, że jesteś celem ataku Mała wielkość firmy i stosunkowa anonimowość to niewystarczająca ochrona przed najbardziej wyrafinowanymi atakami. Ataki ukierunkowane stanowią zagrożenie tak samo dla małych firm, jak i dużych. Atakujący mogą też używać Twojej witryny internetowej do ataku na innych użytkowników w sieci. Jeśli założysz, że jesteś potencjalnym celem, i wzmocnisz obronę przed najpoważniejszymi zagrożeniami, automatycznie zyskasz lepszą ochronę również przed innymi niebezpieczeństwami. Stosuj obronę wielowarstwową Systemy obronne powinny składać się z wielu elementów chroniących te same obszary i wzajemnie się uzupełniających. Stanowi to zabezpieczenie przed skutkami punktowych awarii ważnych składników dowolnej technologii czy metody ochrony. Warunkiem skuteczności tej strategii jest stosowanie regularnie aktualizowanych zapór, a także programów antywirusowych działających w bramie sieci, systemów wykrywania włamań i ochrony przed nimi oraz bram zabezpieczających ruch w obu kierunkach w całej sieci. Warto rozważyć wdrożenie technologii Always on SSL (protokół HTTPS od zalogowania po wylogowanie) w celu szyfrowania danych przesyłanych za pośrednictwem witryn internetowych. Na punktach końcowych nie wystarczy oprogramowanie antywirusowe oparte na sygnaturach. Uświadamiaj pracowników Pogłębiaj wiedzę personelu o niebezpieczeństwach socjotechniki i przeciwdziałaj im, zapewniając pracownikom stosowne przeszkolenie. Solidne szkolenie i odpowiednie procedury sprzyjają też ograniczeniu ryzyka przypadkowej utraty danych i innych zagrożeń z wewnątrz. Warto uświadomić pracownikom wartość danych i nauczyć ich technik ochronnych. Zapobiegaj utracie danych Zapobiegaj utracie danych i ich skrytemu wyprowadzaniu z firmy za pomocą sieciowego oprogramowania chroniącego przed utratą danych. Szyfruj dane przekazywane online i na wymiennych nośnikach. s. 20

21 ŹRÓDŁA Internet Security Threat Report, kwiecień, Targeted Attacks, s. 21

22 WSS KRÓTKIE WPROWADZENIE Extended Validation SSL Stosowanie certyfikatów Extended Validation (EV) SSL sprawdziło się w przypadku firm mających bardzo popularną markę jako skuteczny sposób obrony przed phishingiem. Jest to też jeden z najlepszych sposobów na budowanie wiarygodności w Internecie. W firmach prowadzących działalność online wdrożenie certyfikatów SSL z technologią EV może bardzo pozytywnie wpłynąć na osiągane wyniki finansowe. Najważniejsze cechy certyfikatów EV firmy Symantec Technologia Extended Validation powoduje wyświetlanie zielonego paska adresu w przeglądarkach internetowych potwierdzającego, że witryna przeszła szeroko zakrojony proces weryfikacyjny Szyfrowanie kluczem o długości do 256 bitów Pieczęć Norton Secured Seal wraz z technologią Symantec Seal-in-Search (pieczęć w wynikach wyszukiwania) zapewnia maksymalne wskaźniki klikalności i konwersji Ocena luk w zabezpieczeniach witryny oraz codzienne skanowanie pod kątem szkodliwego oprogramowania poprawiają ochronę przed atakami Pomoc techniczna dostępna przez 24 godziny na dobę, 7 dni w tygodniu Rozwiązanie Symantec SSL Assistant automatycznie generuje żądania CSR i instaluje certyfikaty Ponadto: narzędzie SSL Installation Checker, bezpłatne odwoływanie i wymienianie certyfikatów oraz gwarancja finansowa na poziomie USD. Zdobądź zielony pasek adresu. Identified by Norton Pasek stanu zabezpieczeń przełącza się między nazwą firmy a nazwą podmiotu certyfikującego, który przeprowadził procedurę uwierzytelniania Extended Validation. Pieczęć Norton Secured Seal Zmień gości w lojalnych klientów, umieszczając w witrynie pieczęć, która jest rozpoznawana i uznawana za wiarygodną przez dużą grupę klientów online. Pieczęć Norton Secured Seal jest wyświetlana ponad 750 milionów razy dziennie w witrynach internetowych w ponad 170 krajach na całym świecie. Rozwiązanie Symantec AdVantage Oprogramowanie Symantec AdVantage monitoruje witrynę w czasie rzeczywistym i wykrywa problem, gdy tylko szkodliwa zawartość zostanie umieszczona w witrynie. Twoja witryna nie trafi już na czarne listy wyszukiwarek (o czym zwykle dowiadujesz się, gdy ustaje w niej ruch) teraz można podjąć działanie i zablokować sieć, z której pochodzi podejrzana reklama, zachowując bezpieczeństwo klientów i nieskalaną reputację. s. 22

23 INFORMACJE O FIRMIE SYMANTEC Firma Symantec zajmuje się ochroną informacji i jest światowym liderem w dziedzinie zabezpieczeń oraz rozwiązań do tworzenia kopii zapasowych i zapewniania dostępności systemów. Nasze innowacyjne produkty i usługi chronią ludzi oraz informacje w każdym środowisku od najmniejszych urządzeń przenośnych przez centra przetwarzania danych w przedsiębiorstwach aż do systemów w chmurze. Nasza ceniona na świecie specjalistyczna wiedza w zakresie ochrony danych, tożsamości i interakcji zapewnia klientom poczucie bezpieczeństwa w globalnej sieci. Więcej informacji można uzyskać na stronie lub kontaktując się z firmą Symantec pod adresem: go.symantec.com/socialmedia Dodatkowe informacje Zestawienie zagrożeń globalnych z usług Symantec.cloud: Zespół firmy Symantec ds. reagowania na zagrożenia bezpieczeństwa (Symantec Security Response): Raport Internet Security Threat Report (strona zasobów): Narzędzie Norton Threat Explorer: Narzędzie Norton Cybercrime Index: Rozwiązania firmy Symantec w zakresie zabezpieczeń witryn internetowych: s. 23 Raport o o zagrożeniach bezpieczeństwa witryn internetowych 2013

24 ŚLEDŹ NASZE WPISY UDOSTĘPNIAJ Adresy biur lokalnych i numery kontaktowe można znaleźć w naszej witrynie internetowej. Informacje o naszych produktach można uzyskać pod numerem telefonu: lub wybierz opcję 2, a następnie 1 Symantec w Polsce Symantec Poland Sp. z o.o. ul. Postępu 17A, Warszawa Polska Symantec Corporation. Wszelkie prawa zastrzeżone. Nazwa Symantec, logo Symantec, logo Checkmark Circle oraz logo Norton Secured są znakami towarowymi lub zastrzeżonymi znakami towarowymi firmy Symantec Corporation lub jej oddziałów w USA i innych krajach. Inne nazwy mogą być znakami towarowymi odpowiednich podmiotów. s. 24