Harpunování CEO

S příchodem roku 2008 se bezpečnostní agenda v podnicích dále rozšiřuje. Dny, kdy stačil firewall a systém pro odhalení případných průniků, jsou již dávno pryč. Novým cílem bezpečnostních útoků jsou nejen podnikové aplikace, ale i ředitelé a CEO.

Harpunování CEO


S příchodem roku 2008 se bezpečnostní agenda v podnicích dále rozšiřuje. Dny, kdy stačil firewall a systém pro odhalení případných průniků, jsou již dávno pryč. Otázky co, kdy a jak chránit jsou stále složitější a vyžadují spolupráci celého podnikového vedení, nikoliv pouhou iniciativu šéfa IT či administrátorů. Především je ale třeba, aby se vrcholový management i zaměstnanci měli na pozoru – nové typy útoků jsou totiž stále osobnější a propracovanější. Podobně je tomu u zneužívání děr v aplikacích – útočníci se v poslední době soustřeďují na specifický podnikový software namísto prohlížečů a operačních systémů.

Při budování nové bezpečnostní strategie a infrastruktury je třeba kombinovat znalost vlastního byznysu, holistický technický přístup a kvalitní vyhodnocení možných rizik. Mezi hlavními body tak bude nejčastěji dominovat ochrana dat a dozor nad nimi spolu s efektivní integrací pravidel pro ochranu informací do pracovních postupů v podniku či organizaci.

KUDY CHODÍ VAŠE DATA?

Nenápadně, leč nevyhnutelně se stále větší množství citlivých podnikových a zákaznických dat toulá spolu s vašimi zaměstnanci po celém světě. Informace ve vašem datacentru přístupné na dálku a zejména data v mobilních zařízeních, jako jsou chytré telefony, PDA a notebooky, unikají stále častěji (úmyslně i náhodně). Agendum číslo jedna je tak v současné době právě ochrana dat. Nejedná se o nic nového – koneckonců hesla, šifrování a klasifikace dat používá většina společností již mnoho let. Mění se ale typy dat, která je třeba chránit. Zatímco dříve byly za citlivé považovány zejména či výhradně interní údaje společnosti a duševní vlastnictví, dnes je třeba tuto skupinu rozšířit zejména o data související s identitou (zaměstnanců i zákazníků), tedy adresy, rodná čísla a údaje o platebních kartách či bankovních účtech.

Ochrana interních dat je ale také stále náročnější. Vedoucí pracovníci na jedné straně požadují, aby byly klíčové informace k dispozici kdykoliv a odkudkoliv, ale pochopitelně jen těm, kdo je potřebují (například management či obchodníci). Stejná data mohou však snadno cestovat prostřednictvím e-mailu, USB disků či mobilních zařízení. Přidejte k tomu outsourcing či offshoring a myšlenka na snadnou ochranu dat uvnitř podniku se stává utopií. Prvním krokem k vytvoření úspěšné bezpečnostní strategie tedy je vědět, kde se kritická data nacházejí. Pouze na základě těchto informací je možné zodpovědět řadu dalších otázek: Jak je chránit? Jaká rizika a následky hrozí v případě jejich ztráty, zcizení či úniku? Jaké jsou případné zákonné požadavky a postihy? Kdo je zodpovědný za aktuálnost údajů? Jak naše data chrání obchodní partneři? Ani jejich zodpovězení ale ještě automaticky neznamená úspěch.

NOVÉ CÍLE: PODNIKOVÉ APLIKACE

Krátce poté, co Microsoft varoval před škodlivými .mdb soubory, které umožňují nákazu prostřednictvím Jet Database Engine, se objevily první útoky na další podnikovou aplikaci: BrightStor ARCserve Backup pro stolní počítače a laptopy r11.5 společnosti CA. Útok byl oznámen společností Symantec, podle které nakažený kód pocházel z webové stránky v doméně .cn. Pokud ji uživatel zálohovacího programu navštíví, nainstaluje se mu škodlivý kód prostřednictvím chyby v ActiveX prvku, který využívá výše zmíněná aplikace. V době uzávěrky nebyla k dispozici oprava, podle společnosti Symantec ji lze ale provést ručně zákazem ActiveX prvku v registrech Windows.

Podle studie společnosti Gartner stojí za 75 % bezpečnostních selhání chyby v programech. Nejčastějším důvodem je přitom to, že tyto programy byly vytvořeny ve spěchu kvůli rychlému uvedení na trh, aniž by byl kladen dostatečný důraz na otázky bezpečnosti. Vídáme to neustále – nový systém či aplikace mají určeny termíny víceméně náhodně (či na základě požadavků marketingu a prodeje), aniž by byly plně definovány všechny požadavky a potřeby testování bezpečnosti. Někdo kdesi v korporátním obláčku určil výši obratu, která se váže k určitému datu vydání nezbytnému pro vygenerování odpovídajících prodejních čísel.

Podle průzkumů testujících bezpečnost připadalo celých 71 % všech děr odhalených v posledním kvartále minulého roku na webové aplikace – ty ovlivňují vše od serverů po prohlížeče a zavinily z valné části tříprocentní mezikvartální nárůst. Podle Gartneru je 90 % rozpočtů za IT bezpečnosti utráceno za zabezpečení perimetru – například firewall. Zdá se, že mnohá IT oddělení odmítají přijmout nepříjemnou realitu: Perimetr je minulostí, proč za něj utrácet další peníze? Proč raději nepožadovat či nepsat kvalitnější aplikace?

HARPUNOVÁNÍ: CEO NA DOSTŘEL

Firewall, detekce průniků a antivir donedávna postačovaly k ochraně podnikové sítě a potažmo dat. Jsou pochopitelně nezbytné i dnes, jedná se ale o takříkajíc základní výbavu, kterou je třeba doplnit o strategii a prevenci zaměřenou nejen na aplikace a mobilní technologie, ale též zaměstnance, nejvyšší vedení nevyjímaje. Ostatně právě zneužívání lidského faktoru přes sociální­ sítě či cílené útoky na vrcholný management jsou fenoménem, který se v prvních měsících letošního roku dostal do popředí zájmu.

Podle bezpečnostních odborníků lze počty obětí nového typu útoku „harpunování“ (spear phishing), při němž byly využity smyšlené soudní obsílky, počítat již řádově v tisících. Tato propracovaná forma phishingu, či spíše whalingu, je obvykle adresována vrcholným manažerům – podvodný e-mail s informacemi o údajné soudní žalobě obsahuje odkaz na stránky s dokumenty k soudnímu líčení. Jedná se pochopitelně o podvržené webové stránky, na nichž je oběti sděleno, že si pro prohlédnutí dokumentů musí nainstalovat plugin do prohlížeče – ve skutečnosti tím ale zajistí útočníkům přístup do svého PC.

„Harpunování“ využívá uvěřitelnější a adresnější formy komunikace než klasický phishing – podvodné e-maily mohou být dokonce „ušity na míru“ jedinému adresátovi. Kupříkladu e-mail, který počátkem dubna obdržel Panos Anastassiadis, ředitel bezpečnostní společnosti Cyveillance, obsahoval jeho jméno, jméno společnosti a správná telefonní čísla. Anastassiadis se ale nenechal nachytat a podvodný e-mail poslal do operačního centra své společnosti na analýzu.

Jiní nebyli tak opatrní. Divize iDefense společnosti Verisign odhaduje, že na odkaz v podvržené zprávě kliklo na 1 800 obětí. Podle Matta Richarda, ředitele týmu rychlé odezvy ve Verisign, „se tak z hlediska počtu obětí jedná o jeden z největších ‚útoků harpunou‘, jaké jsme doposud zaznamenali.“ Zneužívání soudních líčení při phishingu ale není v USA ničím novým – již před několika lety se objevily první podvody, při nichž bylo adresátům sdělováno, že se nedostavili jako členové poroty k soudnímu líčení a byli následně žádáni o zadání podrobných osobních údajů.

„Samotný malware nebyl nijak neobvyklý, chytré ale je zasílání zpráv přímo a výhradně do schránek CEO a ředitelů, namísto zahlcování milionů poštovních schránek po světě,“ říká John Bambenek, který se věnuje výzkumu bezpečnosti na University of Illinois. „Pro někoho, kdo neví, jak mají soudní obsílky či právní dokumenty přesně vypadat, je poměrně snadné naletět,“ dodává. „Když lidé vidí, že je na ně nebo jejich společnost podána žaloba, často začnou panikařit a kliknou na věci, na něž by si běžně dali pozor.“ Zpráva odkazuje podle Bambeneka na stránky s adresou končící „uscourts.com“, které jsou velmi podobné doméně .gov využívané soudy v Kalifornii. Webový server, na němž je malware uložen, je umístěn v Číně, zatímco počítač, který následně ovládá PC oběti, je v Singapuru. Malware využitý při těchto podvodech nebyl většinou antivirových společností identifikován, mnohé ale posléze aktualizovaly svůj software tak, aby mohl být odhalen.

Administrativní soudní kancelář umístila záhy na své stránky upozornění na podvodné e-maily s dovětkem, že soudní obsílky jsou posílány jen stranám, které jsou účastny soudního líčení či sporu. To ale nic nemění­ na skutečnosti, že severoamerický soudní systém je do značné míry závislý na e-mailové komunikaci mezi právníky a soudem. IT oddělení měla již tak dost práce zajistit, aby legitimní elektronická pošta procházela přes spamové filtry, teď se jejich situace ještě značně zhorší.

Podobné útoky nelze v budoucnu vyloučit ani v Česku, naštěstí pro nás jsme však trhem relativně malým s výrazně menším množstvím příležitostí. Navíc jsme chráněni poměrně solidní jazykovou bariérou a v konkrétním případě soudnictví u nás nadále dominuje klasická písemná komunikace (skutečná soudní předvolání ale pochopitelně nejsou posílána e-mailem ani ve Spojených státech).

Na druhou stranu zde působí mnoho nadnárodních společností, jejichž vrcholní manažeři by mohli být obětí útoků, jakými jsou velrybářství (whaling) či harpunování (spear-phishing). Koneckonců stačí se podívat na rostoucí „kvalitu“ phishingových útoků na klienty České spořitelny a je celkem jasné, že se v budoucnu nevyhneme ani cílenějším a sofistikovanějším útokům, na které navíc mnohem obtížněji reagují antivirové společnosti.








Komentáře