Posljednjih nekoliko godina sve češće čitamo o tome da je finansijska industrija pod najvećim rizikom od cyber napada. Kako se izboriti s ovim tmurnim predviđanjima, pročitajte u nastavku

Izvor: Vesna Matić-Karić
E-mail: redakcija@asadria.com

Nije nikakva novost da cyber kriminalci prije napada na neku instituciju ili pojedinca prvo istraže metu kako bi napad bio u potpunosti uspješan, a to se postiže ranim otkrivanjem ranjivosti sistema. Naoružani svim potrebnim podacima, napadači bez problema upravljaju kompleksnim sistemima svoje mete, uspostavljajući trajno prisustvo u njima te često ostajući neotkriveni dugo vremena. Fokus kompanija do sada je bio isključivo na sigurnosti. Međutim, sve napredniji alati i taktike kojima se hakeri služe pri napadima sada zahtijevaju prebacivanje na dinamičniji pristup i sveobuhvatnu sposobnost cyber zaštite.

Računarska sigurnost napreduje na listi prioriteta

Broj hakerskih napada u industriji koja se bavi finansijskim uslugama iz godine u godinu raste. Ako pogledamo podatke za 2013, možemo vidjeti da su američke kompanije koje se bave pružanjem finansijskih usluga usljed hakerskih napada u toj godini izgubile u prosjeku 23,6 miliona dolara, a taj broj i dalje raste. Podaci ukazuju na to da su gubici najveći upravo u ovoj industriji. S druge strane, 2012. godine finansijski sektor nalazio se tek na trećem mjestu po broju hakerskih napada, dok su prva dva zauzimale odbrambena i energetska industrija. Međutim, treba naglasiti da finansijski gubici nastali usljed cyber napada nisu ono što ovaj sektor najviše pogađa. Mnogo veće posljedice ostavlja narušavanje povjerenja klijenata i investitora, jer se jednom izgubljeno povjerenje teško vraća. Tako je istraživanje korporativnih rukovodilaca i članova odbora pokazalo da je rizik od hakerskih napada bio treći prioritet u korporacijama 2013. godine, dok je 2011. cyber sigurnost u korporativnom svijetu bila tek na dvanaestom mjestu.

Podaci iz Ponemon instituta i Deloitteovog centra za analizu finansijskih usluga najbolje ilustruju kretanje troškova finansijskih kompanija usljed hakerskih napada: 2010. su iznosili nešto više od 12 miliona dolara na godišnjem nivou po kompaniji, da bi se naredne godine popeli na 14,7 miliona dolara. I 2012. zabilježen je rast, pa su troškovi na godišnjem nivou za kompanije koje pružaju finansijske usluge iznosili 16,4 miliona dolara, a 2013. su se popeli na 23,6 miliona dolara, što je povećanje od 43,9%!

Korporativna statika vs. hakeri

Postavlja se pitanje zašto su neke kompanije dopustile da ih sigurnosni problemi bukvalno “preplave”, odnosno zašto nisu djelovale na vrijeme i tako spriječile većinu problema ove vrste. Moglo bi se reći da ovo “zakašnjenje” ima veze i sa statičnim i donekle piramidalnim načinom na koje korporacije funkcionišu, gdje se na finalne odluke obično duže čeka jer se sve mora odvijati prema strogo utvrđenim internim politikama. Hakeri, s druge strane, imaju potpunu slobodu djelovanja, pa mogu biti kreativni koliko žele u pronalaženju novih vidova probijanja sigurnosne odbrane svoje iduće mete. Novi problem s kojim se firme suočavaju leži u tome što više nisu samo meta kriminalaca koncentrisanih isključivo na finansijske institucije i iskusnih hakera nego i većih, dobro organizovanih aktera poput haktivističkih grupa, koje u cilju objavljivanja najčešće socijalno-političkih stavova mogu napraviti velike probleme. Ovakva situacija kompanijama nameće potrebu da prilikom kreiranja strategije za borbu protiv cyber kriminala osmisle novi pristup zasnovan na širokom spektru mogućih učesnika i različitih motiva koji ih pokreću.

Ovu situaciju prokomentarisao je i Richard A. McFeely, bivši pomoćnik direktora u odjelu za kriminalističke poslove, cyber i usluge u slučaju incidenata u FBI-ju, rekavši: “Naši protivnici u cyber svijetu uključuju špijune iz država koji su u potrazi za našim tajnama i intelektualnim vlasništvom, organizovane kriminalce koji žele ukrasti naše identitete i novac, teroriste koji žele napasti našu električnu mrežu, vodovod ili neku drugu infrastrukturu i haktivističke grupe koje pokušavaju iznijeti politički ili socijalni stav.” Ovo je potvrdio i Lou Steinberg, šef tehnološkog odjeljenja u kompaniji TD Ameritrade: “Mi smo od organizovanog kriminala koji čine finansijski motivisane grupe koje su sebi mogle priuštiti napade stigli do haktivista, ljudi sa socijalnom agendom, koji ne žele ukrasti vaš novac.”

Iako u ovoj priči finansijske kompanije nisu ni blizu bespomoćne, ipak dolazimo do sljedećeg problema: uvođenje novih tehnologija moglo bi unijeti nove oblike složenosti u njihov tehnološki ekosistem. Tako masovna primjena i prihvatanje pogodnosti koje nude internet, društvene mreže, mobilne tehnologije i cloud otvaraju, naravno, i nove mogućnosti napadačima. Slično tome, navala outsourcinga, offshoringa i rad s drugim kompanijama, koji je u porastu zbog želje korporacija da smanje troškove, mogu dodatno “razvodniti” institucionalnu kontrolu nad IT sistemima i pristupnim tačkama. Ovi trendovi rezultirali su razvojem novog, znatno manje ograničenog ekosistema u okviru kojeg finansijske kompanije posluju, ali i širom “površinom pogodnom za napad” koju hakeri sada mogu iskoristiti.

Da bi se doskočilo ovom rastućem problemu, finansijske kompanije sve stavke vezane za računarsku sigurnost i IT u cjelini moraju staviti na listu svojih najhitnijih prioriteta te kreirati dinamičan i nadasve inteligentan pristup sigurnosti, koji će im pomoći kako u sprečavanju budućih cyber napada tako i u njihovom detektovanju i brzom saniranju problema prouzrokovanih napadom.

Strategija cyber sigurnosti

Na osnovu većine dostupnih podataka možemo zaključiti da se učestalost hakerskih napada povećava, dok se brzina saniranja problema, odnosno odgovora na napad usporava. I to se uglavnom događa zato što napadači u sve većoj mjeri iskorištavaju širok spektar različitih metoda napada (npr. poput metode infiltracije) i tako uvijek ostaju na korak ispred. Slojeviti pristup rješenju ovog problema može nadopuniti i nadograditi tradicionalne tehnologije koje u današnje vrijeme više nisu odgovarajuće.

Ako pogledamo analizu koja pokazuje da 88% hakerskih napada na finansijske kompanije bude uspješno izvedeno u roku jednog dana, mogli bismo lako zaključiti da rješenje za ovu situaciju leži u većem ulaganju u alate i tehnologije koje će smanjiti uspješnost ovih napada. Međutim, nedostatak svijesti o modernim cyber prijetnjama i manjak odgovora na njih sugeriše da bi i više različitih oblika preventivnih tehnologija bilo neadekvatno u suočavanju s ovim problemom. Šta onda uraditi? Kao što smo već ranije naveli, finansijske kompanije trebale bi ozbiljno razmisliti o slojevitom pristupu, koji sadrži sveobuhvatniji program cyber odbrane i mjere odgovora, što bi im trebalo pomoći prilikom suočavanja sa širokom lepezom cyber prijetnji i rizika. Jednostavnije rečeno, kompanije koje se bave pružanjem finansijskih usluga morale bi razmisliti o kreiranju programa za upravljanje cyber rizikom kako bi dobile luksuz da budu uvijek sigurne, predostrožne i otporne. Naprimjer, mogle bi kreirati dubinski pristup, koji bi podrazumijevao niz ojačanih slojeva sigurnosti kako bi se osigurala redundancija te spriječio ili barem usporio proces napada ukoliko do njega već dođe. Također, jedan od njihovih glavnih ciljeva trebao bi biti i poboljšanje budnosti, odnosno predostrožnosti putem efikasne rane detekcije i signalnih sistema. Sistemi za nadzor trebali bi, prema mišljenju stručnjaka, raditi 24 sata, sedam dana u sedmici, uz adekvatnu podršku za efikasno upravljanje incidentima i procesom popravljanja štete.

Prijedlog konkretnih mjera

Prijedlog sigurnosnih stručnjaka iz Deloitteovog centra za analizu finansijskih usluga za unapređivanje cyber sigurnosti pomoću strategije zasnovane na sigurnosti, predostrožnosti i otpornosti podrazumijeva sljedeće:

• Da biste održali sigurnost, poboljšajte kontrole za prioritetiziranje rizika kako biste se zaštitili od već poznatih i novih, odnosno nadolazećih prijetnji i trudite se da sve odradite u skladu sa standardima i propisima IT sigurnosne industrije;
• Da biste uvijek bili na oprezu, budni ili predostrožni, radite na bržoj detekciji povreda sigurnosti i anomalija kroz bolje poznavanje situacije u okruženju. Otpornost se može poboljšati i simuliranim testiranjima i procesom kriznog menadžmenta (upravljanja u kriznim situacijama). Naprimjer, sistemi se mogu projektovati i testirati kako bi bili u stanju izdržati duže periode izloženosti stresu;
• I na kraju, da biste bili otporni, uspostavite sposobnost brzog povratka na normalne operacije i popravljanja štete koju hakerski napadi mogu nanijeti vašem biznisu.

Imajte na umu i sljedeće: analiza Ponemon instituta i Deloitte centra za analizu finansijskih usluga pokazala je da 60%  ispitanih kompanija nije bilo u stanju zaustaviti cyber napad kada je do njega došlo, a najčešće zbog zastarjelog ili neadekvatnog CTI-a (cyber threat intelligence), odnosno skupa alata i obavještajnih tehnika za borbu protiv prijetnji sigurnosti.

————————

“IT problem” postaje strateški problem

Iako kompanije sve češće priznaju obim problema koji narušavanje cyber sigurnosti predstavlja, ova tema ipak najčešće ostaje u pozadini samog poslovanja. Potencijalne akcije koje mogu preduzeti kako bi razvile sveobuhvatniji organizacijski pristup takozvanom menadžmentu cyber rizika uključuju osnovne korake kao što su oformljivanje posvećenog tima koji će se baviti upravljanjem cyber prijetnjama, zatim strategija vezana za cyber prijetnje koja će biti izvođena na izvršnom nivou kao dio same jezgre kompanijske strategije, fokusiran napor usmjeren ka automatizaciji i analitici kako bi se stvorila unutrašnja i vanjska transparentnost vezana za moguće rizike itd. No, generalno, ključ je u edukaciji svih zaposlenika o mogućim rizicima koje njihovi postupci mogu izazvati na radnom mjestu.

“Jurnjava za najnovijim alatima dio je upravljanja cyber rizicima, ali možda neće biti dovoljna; mi zaista moramo izmijeniti stav korisnika o ovom pitanju. Direktori bi trebali razmisliti o tome da se više napora usmjeri ka ljudima umjesto ka tehnologiji. I to ne znači da od korisnika tražite da klikne na pravni dogovor od 22 stranice koji potvrđuje njihovo razumijevanje korporativne sigurnosne politike. Umjesto toga, trebali bismo pokušati koristiti konciznost, ugađanje i ostale načine angažovanja kako bi korisnicima pomogli da razumiju izazove s kojima se kompanija susreće kada je riječ o sigurnosti i privatnosti te njihovoj ulozi u tome”, kaže Larry Quinlan, globalni informacijski direktor u Deloitteu.

Ukoliko se želi doskočiti hakerima, osim navedenog, saradnja vezana za IT sigurnost u sadašnjem vremenu morala bi se protezati i van granica kompanije. Tako bi one koje se bave finansijskim uslugama mogle imati velike koristi od gradnje veza unutar same industrije i razvoja javno-privatnog partnerstva. Kako bi se pripremile za potencijalnu ispomoć u toku hakerskog napada (tj. sigurnosne krize), kompanijama koje pružaju finansijske usluge savjetuje se da izgrade veze sa svojim kontaktima u ustanovama za provođenje zakona, advokatskim firmama koje se bave slučajevima vezanim za IT, različitim IT i PR stručnjacima. Tu također spadaju softverske i telekomunikacijske kompanije, ali i industrijska udruženja te vladine agencije. Ovo je potvrdio i Judd Gregg, bivši direktor SIFMA-e, rekavši: “Quantum Dawn 2 je dokazao da je dijeljenje informacija između privatnog sektora i vlade jedan od najefikasnijih načina za borbu protiv cyber kriminala.” Pridružio mu se i Ed Powers, nacionalni direktor u odjelu za cyber rizik u Deloitteu, koji je rekao: “Nerealno je očekivati da će u današnjem okruženju zaštitne mjere spriječiti sve cyber incidente. Finansijska industrija bi trebala nastaviti razvijati mogućnosti za otkrivanje incidenata čim se oni dogode, minimizirajući utjecaj na poslovnu i kritičnu infrastrukturu i povezujući ove mogućnosti u zajednički i sveobuhvatni okvir. Quantum Dawn (vježba tokom koje banke vježbaju odbranu od hakerskih napada) pomogao je učesnicima da razumiju ne samo potrebu da budu sigurni, nego da budu predostrožni i otporni u slučaju cyber prijetnji.”

Pet vjerodostojnih cyber prijetnji finansijskom sektoru

Iako su finansijske kompanije s vremenom postale zrelije kada je riječ o cyber sigurosti, broj sigurnosnih prijetnji se konstantno povećava, dovodeći do sve kompleksnijeg IT ekosistema s kojim čak i najveće sve teže izlaze na kraj. Tu ne pomaže ni činjenica da rade s veoma osjetljivim informacijama i podacima koji se na crnom tržištu mogu dobro unovčiti, zbog čega je ovaj tip kompanija pod još većom hakerskom lupom. Zato je od ključne važnosti da se prije bilo kakvog konkretnog djelovanja dobro razmisli o mogućim cyber prijetnjama i njihovim implikacijama.

IT sigurnosni rizici vezani za vaše partnere

Rizici po vašu cyber sigurnost koje proizvode partnerske kompanije poprilično su veliki, posebno ako je odgovor na pitanje imate li mogućnost konstantnog praćenja svakog saradnika s kojim sarađujete – negativan. Ukoliko to već nije slučaj, trebali biste pri saradnji sa svojim dobavljačima imati sistem za određivanje mjera za zaštitu od cyber prijetnji i taktika za zaštitu podataka. Preduzećima je neophodno da budu u stanju brzo identifikovati i po potrebi popraviti probleme do kojih je došlo, a posjedovanje alata koji će vam pomoći pri stalnom praćenju situacije donijet će vam prijeko potrebni mir kada su ove stvari u pitanju.

IT sigurnosni rizici vezani za klijente i saradnike vaših partnera

Ministarstvo finansijskih poslova u New Yorku provelo je 2015. godine istraživanje koje je pokazalo da veliki procent organizacija iz finansijskog sektora nije adekvatno nadzirao saradnike svojih partnerskih firmi. Nenadziranje sigurnosti klijenata i saradnika vašeg partnera predstavlja relevantan rizik po sigurnost. Na kraju krajeva, vi ne možete znati kakve bi posljedice mogle biti po vašu firmu i klijente ukoliko se, naprimjer, desi da saradnik vašeg partnera zbog napada ransomwareom bude offline neko vrijeme. Upravo zato bi vam od pomoći mogli biti alati za nadgledanje poput BitSighta, koji će vam pružiti nepristrasan uvid u podatke koji su vam neophodni.

DDoS napadi

U Verizonovom izvještaju o hakerskim napadima iz 2017. stoji da DDoS napadi predstavljaju nadolazeći veliki rizik po organizacije, što je sasvim jasno ako pogledamo jedan od najnovijih primjera. Naime, relativno mali DNS provajder bio je pogođen ovom vrstom napada, ali to je izazvalo velike prekide u radu velikih i svima dobro poznatih kompanija poput Amazona i PayPala. Istim napadom bio je zahvaćen i poznati sigurnosni blog Krebs on Security, pa se može reći da su upravo ovi, malo veći DDoS napadi, o kojima se naveliko raspravljalo u medijima, doprinijeli tome da se ovaj vid prijetnje dodatno istakne i naglasi.

Rizik po geografski rašireno poslovanje

Za finansijske organizacije koje rade širom svijeta IT sigurnosna prijetnja svakim danom sve više raste. Velike finansijske kompanije širom svijeta u svojim poslovnim centrima moraju razmotriti i imati u vidu dodatne rizike po sigurnost. Ako ovo opisuje vašu organizaciju, promislite o sljedećim pitanjima koja će vam pomoći u rješavanju potencijalnog sigurnosnog problema: da li se vaš sigurnosni rizik mijenja u zavisnosti od regiona i ako je odgovor pozitivan, na koji tačno način? Koliko ste u mogućnosti osigurati svoje mreže u različitim regionima svijeta? Ako se preduzeće širi, imate li dovoljno informacija da biste razumjeli kako će se rizik po vašu cyber sigurnost promijeniti? U kojim regionima posluju vaši saradnici, a u kojima njihovi saradnici?

Otvoreni portovi

Iako otvoreni portovi nisu opasni sami po sebi, situacija se mijenja kada se preko njih prenose osjetljive informacije. Tako je jedna od ključnih stvari prilikom WannaCry ransomware napada bio upravo otvoreni port 445. Kompanije koje se bave pružanjem finansijskih usluga imaju dosta toga za izgubiti ukoliko ne budu pažljive s otvorenim portovima na svojim mrežama ili mrežama svojih saradnika. Zato je, osim dobre mreže, važno imati i dobar plan za upravljanje portovima kako bi se smanjila mogućnost hakerskog napada.

Ako na ovu konstantnu borbu između korporacija i hakera gledamo kao na igru mačke i miša, u kojoj obje strane nastoje naučiti što više i doskočiti jedna drugoj, onda možemo zaključiti da miš (hakeri) nesumnjivo brže uči. Hoće li tako i ostati, ostaje da se vidi u bližoj budućnosti. Mi smo vam predstavili savjete vodećih IT stručnjaka koji bi vam mogli pomoći da se situacija u ovoj igri izmijeni u vašu korist.

Rast troškova neizbježan

Prema podacima kojima raspolaže Deloitte, mnoge finansijske kompanije se muče da postignu nivo zrelosti koji je neophodan ukoliko se žele suočiti s naprednim rizicima po IT sigurnost. Iako je tokom istraživanja 75% globalnih finansijskih kompanija smatralo da se njihov nivo zrelosti vezan za program IT sigurnosti nalazi na nivou 3 ili višem, samo 40% ispitanika bilo je čvrsto uvjereno da njihovi sistemi mogu preživjeti hakerski napad. Jasno je da će se finansijske kompanije suočiti s rastom troškova u pokušaju da se zaštite, a potrošnja se već povećala za 13 puta – na 292,4 miliona dolara po kompaniji za odbranu od 95% cyber napada.

Kako bi doskočile hakerskim napadima, kompanije sve češće isplaćuju velike sume novca “prijateljskim hakerima”, koji ih na vrijeme upozoravaju na postojanje sigurnosnog propusta. Iako je riječ o velikim ciframa, ovo ih ipak izađe jeftinije nego saniranje problema nakon što je šteta već učinjena

Izvor: Vesna Matić-Karić

E-mail: redakcija@asadria.com

U prošlom tekstu smo samo ovlaš spomenuli pojam „Bug Bounty“, koji se odnosi na praksu velikih kompanija da plaćaju prijateljski nastrojene hakere da ih obavještavaju o novim sigurnosnim problemima. Većina kompanija poput Googlea, Tesle i Facebooka, pa čak i Ministarstva odbrane SAD-a, dijele Bug Bountyje – novčane nagrade za otkrivanje propusta, koje mogu iznositi i do vrtoglavih milion dolara. Ovakva razmjena dobara odgovara svima: hakerima, jer su odlično plaćeni po otkrivenom propustu, a kompanijama zato što je ovo objektivno dobro uložen novac – za saniranje problema nastalih usljed hakerskog napada platili bi znatno više.

Razlozi koji idu u prilog Bug Bountyju

Prvi razlog su, naravno, finansije. Prosječan trošak koji nastaje usljed hakerskog napada iznosi četiri miliona dolara ili, tačnije, oko 158 dolara po zahvaćenom korisniku. Međutim, trošak neće biti isti u svim uslovima za različite kompanije. Ovdje možemo navesti primjer Sonyja, koji je 2015. godine procijenio da će ga kombinovani troškovi istraživanja Guardians of Peace hakerskog napada i pronalaska rješenja za njega koštati 15 miliona dolara. Osim toga, Sony je te godine morao isplatiti i dodatnih osam miliona dolara u sudskom procesu koji su protiv njega pokrenuli bivši zaposlenici čiji su podaci u toku napada bili ukradeni. Dakle, sada je dosta jasnije zašto su Bug Bounty isplate visoke i zašto djeluju sasvim opravdano. Jasno je da na ovaj način velike kompanije nastoje minimizirati potencijalnu štetu koja nastaje usljed sigurnosnih propusta koji ne budu otkriveni na vrijeme. Drugi razlog je brzina. Što kompaniji treba više vremena da otkrije o kakvom je sigurnosnom propustu riječ, to su veći troškovi. Zbog toga na scenu stupaju Bug Bounty programi. Time hakeri koji žele zaraditi na malo dostojanstveniji način mogu unaprijed tragati za potencijalnim propustima i dobiti novac za to, a pri tome omogućiti kompanijama da na vrijeme saniraju problem.

Ovdje je bitno navesti podatak Ponemon instituta da bi, ukoliko kompanija sanira sigurnosnu prijetnju u roku 100 dana, troškovi rješavanja problema trebali iznositi u prosjeku 3,2 miliona dolara, nasuprot 4,4 miliona koliko bi ih u prosjeku koštala sanacija ako problem otkriju nakon ovog roka. Još jedan razlog zbog kojeg su velike kompanije voljne isplatiti velike cifre hakerima koji na vrijeme otkriju sigurnosne propuste leži u potrebi da ovakvi problemi po svaku cijenu ostanu skriveni od javnosti. Međutim, ako je riječ o haktivistima koji napadom žele objelodaniti svoja politička uvjerenja, teško da može biti govora o nekoj tajnosti. Tako su, recimo, prilikom hakerskog napada na Sony bili hakirani i kompanijski Twitter profili, pa su se na njima pojavile grafički veoma zanimljive poruke o uspješno odrađenom hakerskom napadu.

Internet Bug Bounty za open source softver

Osim nagrada koje pojedinačno dijele kompanije, postoji i Internet Bug Bounty projekt (Internetbugbounty.org), koji novčano nagrađuje hakere za pronalaženje kritičnih propusta u Pythonu, OpenSSL-u i drugim open source softverima i jezicima, uključujući i generalne internetske propuste. Ovaj program je nastao nakon što su njegovi osnivači, ali i sami sponzori, uvidjeli da su neki od najkritičnijih sigurnosnih propusta u historiji interneta ispravljeni zahvaljujući čistom altruizmu i pomoći pojedinaca koji su bili dovoljno stručni, znatiželjni i voljni da pomognu bez ikakve naknade kada naiđu na neki problem. Kako bi se odužili ovakvim pojedincima i zahvalili im na konkretan način, nastao je Internet Bug Bounty program, a za sada ga sponzorišu Facebook, Microsoft, Ford fondacija, GitHub i Hackerone. Programom upravlja nezavisna komisija koju čine sigurnosni stručnjaci koji donose pravila, dodjeljuju nagrade i imaju ulogu posrednika. Dakle, odgovorni su za formiranje pravila kojima se program rukovodi, odlučuju o dodjeljivanju nagrada u slučajevima u kojima se procijeni da su neophodna dodatna istraživanja vezana za cyber sigurnost te posreduju u svim neslaganjima do kojih može doći u procesu održavanja sigurnosti.

A evo kako stvari funkcionišu: komisija izabere najpopularniji softver koji je neophodan za pravilno funkcionisanje interneta, a zatim traži od hakera da ga hakiraju. Ako se ispostavi da hakerovo otkriće može internet učiniti sigurnijim, odnosno ako su otkriveni propusti dovoljno ozbiljni, slijedi isplata novčane nagrade hakeru ili njegovoj omiljenoj neprofitnoj organizaciji. Internet Bug Bounty projekt sponzorišu individualci i organizacije kojima je posebno stalo do održavanja adekvatnog nivoa kolektivne internetske sigurnosti. Zanimljivo je da komisija ne dobija procent od nagrada za pronađeni sigurnosni propust – haker dobija 100% iznosa. Isto tako, iako plaćaju za pronalazak problema, sponzori nemaju nikakva ekskluzivna prava na uvid u pronađene sigurnosne propuste.

Kakvi tipovi otkrivenih bugova zaslužuju isplatu i ko odlučuje o njenoj visini?

Prije nego što uopšte stekne pravo na isplatu u slučaju otkrivenog buga, haker prvo mora ispoštovati neka pravila: mora paziti na to da prilikom otkrivanja sigurnosnog propusta ne naruši tuđu privatnost, mora raditi u okviru pravila koja su postavili članovi sigurnosnog tima Internet Bug Bounty projekta (o tome više na: Hackerone.com/disclosure-guidelines), a mora pripaziti i na to da prilikom cijelog procesa ne naškodi nekoj trećoj strani.

Što se tiče određivanja visine isplate po otkrivenom bugu, glavnu riječ o tome vodi sigurnosni tim, koji, osim okvirne procjene koju donosi već spomenuta komisija, detaljno procjenjuje svaki izvještaj pojedinačno kako bi se utvrdilo koliku nagradu haker zaslužuje i da li je uopšte zaslužuje. Ukoliko dođe do nekih neslaganja između hakera i odluke sigurnosnog tima, komisija posreduje kako bi se pronašlo rješenje koje bi zadovoljilo obje strane. Ovdje treba naglasiti i to da se na ovaj program prijavljuje samo ukoliko se otkriveni bug tiče kompanije koja nema već oformljen vlastiti Bug Bounty program. U svim ostalim slučajevima treba se javiti direktno tim kompanijama i s njima odraditi potrebnu proceduru.

Internet Bug Bounty: zanimljiva prilika za zaradu

Do sada je posredstvom Internet Bug Bounty programa 150 hakera primilo više od 600.000 dolara za otkrivanje više od 659 sigurnosnih propusta. Otkrivanjem ovih propusta poboljšana je sigurnost interneta, a to uključuje i bugove poput Heartbleeda, za kojeg je isplaćeno 15.000 dolara, zatim Shellshocka, za kojeg je Internet Bug Bounty projekt isplatio 20.000 dolara, te ImageTragicka, čije je otkrivanje u tom trenutku vrijedilo 75.000 dolara. Na zvaničnoj stranici organizacije pod “The Projects & Bug Bounties” možete pronaći sve dostupne projekte i njihovu novčanu vrijednost.

U većini kompanija i dalje postoji veliki raskorak između svijesti rukovodećeg kadra o opasnosti od hakerskih napada i njihove spremnosti da naprave odgovarajuće korake koji bi doprinijeli sigurnosti preduzeća

Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com

Šta sve današnji direktori trebaju i moraju znati kako bi mogli na pravi način zaštititi kompaniju od cyber napada pitanje je od ključne važnosti za korporativni svijet. Prva stvar koju moraju znati jeste to da je svaka moderna kompanija, bez obzira na to u kojoj oblasti i kako posluje, ujedno i tehnološka firma iz prostog razloga što nijedna ne može funkcionisati bez modernih tehnoloških pogodnosti. Međutim, ovaj put se nećemo baviti samo tehnološkim zaštitnim mjerama nego i ljudskom komponentom, koja je bitan faktor pri zaštiti od cyber napada. To se prije svega odnosi na potrebu da rukovodstva kompanija počnu drugačije gledati na računarsku sigurnost. Sada je svaki problem s računarskom sigurnošću potencijalna prijetnja cjelokupnom biznisu budući da se većina tog poslovanja odvija zahvaljujući internetu, cloudu i ostalim tehnološkim aspektima, koji su postali nezaobilazni.

Ko su cyber kriminalci i kakve taktike koriste?

Prema podacima iz 2016. godine, do najvećeg broja hakerskih napada u svijetu dolazi zahvaljujući ukradenim ili preslabim lozinkama – čak 81% njih. Prosječna starost cyber kriminalaca je 35 godina, a 80% ih je povezano s organizovanim kriminalom. Kada spominjemo cyber kriminal, onda govorimo o zločinu koji uključuje neki računarski aspekt, a što se tiče samih zlonamjernih hakera, odnosno cyber kriminalaca, postoji nekoliko različitih kategorija na osnovu kojih ih prepoznajemo. Prije svega, tu su aktivističke grupe, takozvani haktivisti. Njihov glavni cilj je promocija svojih uvjerenja, a to mogu biti religijska uvjerenja, politički ili ekološki ciljevi. Haktivistima uglavnom nije cilj da vam ukradu novac, nego da izazovu željenu reakciju i utječu na reputaciju kompanije ili njene klijente, pa su s te strane manje maliciozni u odnosu na ostale kategorije hakera koje ćemo spomenuti.

Zatim imamo insajdere. To su zaposlenici koji djeluju unutar same kompanije, a koji nisu nužno svojevoljno uključeni u cyber kriminalne aktivnosti. Naprimjer, insajder može preuzeti listu kontakata ili kreirati neki dokument koji će hakerima pomoći da dođu do svog cilja, a da toga uopće nije svjestan. U treću, znatno štetniju kategoriju spadaju finansijski motivisane grupe organizovanog kriminala, čiji su članovi uglavnom locirani u istočnoj Evropi. Na kraju, imamo državne aktere koji direktno ili indirektno rade za države iz kojih potječu, a spadaju u najsofisticiranije hakere. Njihov glavni cilj je ukrasti osjetljive podatke i ometati funkcionisanje neprijateljske države.

Korporativni hakeri

Posljednjih godina na površinu je isplivala i jedna posebna, “korporativna” vrsta hakera, koja je odlučila prihvatiti korporativne prakse kako bi povećala efikasnost svojih napada. Najveće hakerske grupe imaju upravo to – korporativno ustrojstvo: u svom arsenalu imaju najbolje stručnjake koji onim manje uspješnim cyber kriminalcima prodaju licencirane hakerske alate. Dakle, danas hakerske grupe po skoro svemu funkcionišu kao korporacije, pa imaju odlično tehnološko osoblje, koje ima i radno vrijeme, slobodne vikende i koje ne radi za vrijeme praznika. Iako smo neke od njih već spominjali u magazinu, još jednom ćemo opisati kojim se taktikama cyber kriminalci najčešće služe. Prije svega, to su DDoS (Distributed Denial of Service) napadi, kojima se ometa rad mreže tako što napadač šalje veliku količinu podataka ili saobraćaja kroz nju, pa mreža na kraju postane zagušena i prestane funkcionisati. A kako poplava neželjenog saobraćaja može stizati iz stotinu hiljada različitih izvora, napad je nemoguće zaustaviti tako što ćete jednostavno blokirati jednu IP adresu. U finansijskom sektoru najveći broj hakerskih napada odvija se pomoću DDoS napada, što objašnjava zašto je u ovoj industriji finansijska šteta od napada izuzetno visoka.

Potom imamo phishing. Ovi se napadi najčešće odvijaju preko e-mailova u kojima vam se nudi da kliknete na neki link i upišete lične podatke. Najveći problem kod phishinga jeste to što su takvi napadi s vremenom postali toliko sofisticirani da će vam djelovati potpuno legitimno. Zapravo, istraživanja Verizona za 2016. godinu pokazala su da postoji šest puta veća vjerovatnoća da ćete kliknuti phishing e-mailove nego tipični marketinški e-mail. Tu su i skimmeri, odnosno čitači bankovnih kartica koji kradu vaše bankovne podatke i pin kod, što se kasnije koristi za pravljenje lažnih kartica.

O zlonamjernom softveru je potrebno stalno govoriti. Ono čega direktori kompanija moraju biti svjesni kada je riječ o trojancima i virusima jeste to da im je glavni cilj preuzimanje kontrole nad računarima ili oštećivanje sistema, a na računare najčešće dospijevaju preko zaraženih attachmenta, preuzimanja zaraženog softvera te zahvaljujući različitim ranjivostima sistema. Još jedna taktika kojom se koriste cyber kriminalci jesu vaši zaposlenici. Nije rijetkost da radnici u modernim kompanijama krišom preuzimaju osjetljive korporativne podatke s nadom da će ih unovčiti, što se dešava u 60 posto slučajeva.

Posljedice cyber napada i troškovi

Prema podacima za ovu godinu, prosječan trošak koji nastane kao posljedica hakiranja iznosi nešto više od sedam miliona dolara, a u njega ulazi otkrivanje napada, stagniranje i oporavak zbog prekida poslovanja, gubitka prihoda i oštećenja opreme. Naravno, u to spada i saniranje štete zbog narušene reputacije firme ili samog klijenta, do čega također nerijetko dolazi usljed hakerskog napada. Zanimljiv je i podatak da su kompanije s najvećim nivoom poslovnih inovacija (kupovina, prodaja, ulazak na novo tržište) meta najtežih napada, koji za posljedicu imaju najveće troškove saniranja problema. Zapravo, dokazano je da to može dovesti do povećanja troškova usljed računarskog kriminala za čak 20%. Međutim, najgora je situacija u kompanijama koje se bave finansijskim uslugama. Prema podacima koji stižu iz Ponemon Instituta, hakerski napad takvu kompaniju košta 1,9 milion dolara ako su ukradeni podaci manje od 10 hiljada korisnika. Ako je riječ o 10–25 hiljada oštećenih korisnika, troškovi se penju na 2,8 miliona dolara. Ukoliko je napadom zahvaćeno 25–50 hiljada korisnika, troškovi su 4,6 miliona dolara, dok će krađa podataka 50 hiljada korisnika i više koštati 6,3 miliona dolara.

Prema izvještaju Verizona o hakerskim napadima za 2017. godinu, ispostavilo se da su kompanije koje se bave finansijskim uslugama na prvom mjestu po broju napada, dok iza njih slijede zdravstvo i javni sektor. Osim same učestalosti napada, u ovoj industriji je najveći i godišnji gubitak novca, pa je tako finansijski sektor u 2013. usljed cyber napada izgubio u prosjeku 16,5 miliona dolara. S druge strane, 2012. godine situacija je bila znatno drugačija. Finansijski sektor je tada bio na trećem mjestu po broju hakerskih napada, dok su prva dva mjesta zauzimala vojna te komunalna i energetska industrija.

Koje su kompanije ranjivije: manje ili veće?

O ovom pitanju postoje razna neslaganja među stručnjacima. Naime, jedni smatraju da su manje firme znatno ranjivije u odnosu na veće, jer se one u slučaju jačeg napada vjerovatno neće moći potpuno oporaviti pošto im nisu dostupna sva sredstva kojima raspolažu velike kompanije. Osim toga, ova grupa stručnjaka ne vjeruje da manja firma može nadoknaditi finansijske gubitke i vratiti povjerenje klijenata i svoju reputaciju na način na koji to može veća. S druge strane, neki smatraju da su manji biznisi, zapravo, u prednosti, budući da veće kompanije manipulišu velikim količinama podataka i svakodnevnim pristupom velikog broja ljudi njihovim sistemima, što otežava procjenu gdje se sve tačno kriju ranjivosti u sistemu. Oni tvrde da manje firme samo trebaju biti dovoljno pametne i na vrijeme procijeniti moguće slabosti svog sigurnosnog sistema, pa će šansa za uspješan cyber napad biti znatno manja.

—————————–

Faktori koji doprinose rastu cyber kriminala

Bitan faktor koji doprinosi (ne)sigurnosti vaše kompanije jeste (ne)sigurnost firme s kojom sarađujete. Istraživanje iz 2013. godine pokazalo je da je 63% istraga u vezi s hakerskim napadima povezano s drugim kompanijama. Ako je firma s kojom sarađujete i koristite njene usluge hakirana, onda i vaša može biti u opasnosti od gubljenja podataka. Još jedan bitan faktor jeste upotreba mobilnih uređaja, koji se sve češće koriste za plaćanje raznih usluga. Kako su korisnici širom svijeta počeli prihvatati ovakve oblike elektronskog plaćanja tako su i banke, da bi dorasle izazovu očuvanja sigurnosti svojih klijenata, morale početi nuditi dodatne oblike zaštite, a u posljednje vrijeme te mjere se odnose na pristupanje računu metodom prepoznavanja glasa ili lica. U svemu ovome ne treba zaboraviti ni sve veću popularnost interneta stvari. Kada je riječ o IoT-u, problem predstavljaju jeftiniji uređaji kojima fali odgovarajuća sigurnosna infrastruktura, što cyber kriminalcima itekako olakšava posao. Poenta IoT-a je u povezivanju različitih pametnih uređaja u jednu cjelinu. Ako jednom od njih nedostaje adekvatna zaštita, onda raste rizik i za sve ostale uređaje.

I jedan od najbitnijih faktora zbog kojih hakeri i dalje relativno lako mogu dobiti sve što požele leži u rukovodstvima nekih kompanija koja jednostavno ne rade na adekvatnom provođenju sigurnosnih mjera, jer misle da stvar nije previše hitna. I mada su tokom prošle godine hakeri napali polovinu malih biznisa u SAD-u, anketa Ponemon Instituta pokazuje da 75% ispitanika nema nikakav formalni plan prema kojem bi postupala u slučaju hakerskog napada.

Korak po korak: kako poboljšati situaciju?

Prije svega, treba naglasiti da rješavanje problema vezanih za računarsku sigurnost zahtijeva višeslojan pristup, jer ne postoji rješenje koje odgovara svima. Kada je riječ o računarskoj sigurnosti u okviru kompanije, trebalo bi koristiti prednosti analitike u stvarnom vremenu. Razlog za ovakav korak je jasan: što vam više vremena treba da otkrijete u čemu je tačno problem, posljedice napada će biti skuplje. Nažalost, ispostavilo se da većini kompanija u prosjeku treba sedam mjeseci kako bi otkrili problem, što dovodi do neslućenih troškova, koji su mogli biti minimizirani da se o sigurnosnim mjerama razmišljalo na vrijeme.

Osim toga, kompanije mogu poduzeti i druge, manje korake kako bi se zaštitile od cyber kriminalaca. Potrebno je imati whitelisting aplikaciju (tj. aplikaciju za sprečavanje instalacija neodobrenog softvera), koja će skenirati cijeli sistem kompanije i registrovati sve njegove fajlove. Zatim, tu su softverske nadogradnje, koje treba redovno primjenjivati jer popravljaju potencijalne greške i bugove koje karakterišu novi softver. Jako je bitno za svaku kompaniju da donese odluku o donošenju višeslojne strategije odbrane od hakerskih napada, koja će pokriti apsolutno sve segment poslovanja i sve uređaje koji se pri tome koriste: mobilne uređaje, aplikacije i podatke. To podrazumijeva i uvođenje dvofaktorske ili trofaktorske autentifikacije. Također, kompanije trebaju kontinuirano praviti rezervne kopije podataka, jer u tom slučaju neće morati platiti da im pristupe ukoliko budu napadnute ransomwareom.

I na kraju, moramo još jednom napomenuti da nikada ne zaboravite na pogubnost ljudskog faktora, zbog čega bi edukacija zaposlenika trebala biti prva stavka u planu svakog savjesnog direktora.

Noviteti u svijetu korporativne cyber zaštite

Antihakersko osiguranje novi je trend u poslovnom svijetu koje vas štiti od sigurnosnih propusta i gubitaka nastalih usljed cyber napada. Međutim, malo kompanija se odlučuje na ovu opciju. Još jedna učestala pojava su i Bug Bounty programi, u okviru kojih kompanija plaća prijateljski nastrojenim hakerima da je upozore na moguće sigurnosne propuste u okviru organizacije. Znak da je ovo dobra praksa jeste taj što je koriste neke od najvećih kompanija današnjice, poput LinkedIna, Googlea, Tesle i Applea.

Moderna komunikacija preko interneta stvorila je idealne uslove za novu vrstu kriminalaca koji rado koriste našu ovisnost o kompjuterima i mobilnim uređajima kako bi profitirali na relativno lagan način. Zato je ključno da im ne olakšavamo posao

Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com

Iako je u izvještaju McAfee Labsa o cyber prijetnjama iz 2017. godine zabilježen pad broja malware alata u posljednja tri kvartala 2016. godine, njihov grafikon istovremeno pokazuje i veliki rast hakerskih napada i cyber kriminalnih aktivnosti širom svijeta. Hakerske prijetnje često se mogu onemogućiti samo ako se njihovi simptomi prepoznaju na vrijeme. Nažalost, iako se znaci napada često mogu prepoznati na vrijeme, korisnici ih rijetko shvataju ozbiljno. Nekada čudno ponašanje uređaja pripisuju starosti svojih računara i mobitela ne provjerivši da li je to zaista tako. Zato je neophodno svaki od simptoma shvatiti ozbiljno da bismo izbjegli probleme koje donosi hakerski napad. Evo na koje sve simptome trebamo obratiti pažnju:

Usporavanje rada računara

Da li je vašem operativnom sistemu odjednom potrebno više vremena da se pokrene ili neuobičajeno dugo čekate da vam se pokrenu programi koje često koristite? Poznato je da malware ima tendenciju da usporava operativni sistem, brzinu komunikacije s internetom i brzinu učitavanja aplikacija. Ako primijetite neke od navedenih simptoma, a ne koristite nikakav zahtjevan program ili aplikaciju, vrijeme je da postanete oprezniji. Međutim, prije nego što vas počne hvatati panika, prvo biste trebali provjeriti je li riječ o nedostatku RAM-a, fragmentiranom hard disku ili nedostatku prostora na njemu. Ukoliko se ispostavi da je sve uredu, vrijeme je da pomislite na infekciju virusima ili trojancima.

Pop-up prozori

Neželjeni prozori koji vam iskaču po ekranu tipičan su znak prisustva spywarea, a najgore od svega je to što ih je veoma teško ukloniti iz sistema (uz to su još i strašno iritantna pojava, koja vam onemogućava normalnu navigaciju internetom). Da bi čitava stvar bila još gora, pop-upovi uglavnom dolaze u “paketu” s prikrivenim zlonamjernim softverom koji može biti još pogubniji po vaš sistem. Kako biste izbjegli spyware, trebali biste se pridržavati sljedećih sigurnosnih praksi: nemojte klikati mišem na sumnjive pop-up prozore, otvarati sumnjive e-mailove koji dolaze od izvora s kojima do tada niste imali nikakve veze i budite pažljivi kada skidate besplatne aplikacije.

Rušenje sistema

Dakle, ovo je poprilično očigledno – ukoliko vam se sistem redovno ruši ili vam se pojavljuje ekran s greškama, onda je vjerovatno riječ o jednoj od dvije stvari: tehničkom problemu, koji ukazuje na to da postoji očigledna nekompatibilnost između vašeg softvera i hardvera, ili zlonamjernom softveru. Ako ste zaključili da nije riječ o tehničkom problemu, onda je najbolje da skenirate cijeli sistem pomoću nekog dobrog antivirusa (Avast i Comodo antivirusi imaju odličnu detekciju, a besplatni su).

Sumnjiva aktivnost hard diska i gubitak prostora na njemu

Ako slučajno primijetite da vaš hard disk pokazuje preveliku aktivnost kada ga ne koristite ili ništa krupnije ne skidate s interneta, pravi je trenutak da provjerite imate li malware u sistemu. Naravno, to trebate uraditi tek nakon što ste utvrdili da nije riječ o kvaru hard diska ili legitimnim pozadinskim procesima (npr. o automatskom antivirusnom skeniranju). S druge strane, također trebate paziti na to da li se prostor na disku naglo povećao i jesu li vam neki fajlovi nestali ili su im se promijenili nazivi. Naime, mnogi zlonamjerni alati koriste razne metode kako bi popunili preostali prostor na disku i tako izazvali probleme u njegovom radu.

Neuobičajena mrežna aktivnost

Ako u određenom momentu niste povezani s internetom, ako nikakav program koji bi se mogao povezati s online serverima radi skidanja i slanja bilo kakvih podataka nije aktivan – a ipak primijetite veliku mrežnu aktivnost – možda je riječ o malwareu. Prije nego što pomislite na najgore, naprije treba provjeriti da li neki program ili aplikacija skida podatke na vaš računar ili ih šalje s njega, zatim vrši li se u tom trenutku automatska nadogradnja neke aplikacije, da li se sam Windows nadograđuje te jeste li počeli skidati veliku količinu podataka, pa onda zaboravili na to.

Tek nakon što ste utvrdili da ništa od navedenog nije slučaj, trebate provjeriti kuda odlazi sav taj saobraćaj (za nadgledanje mrežne aktivnosti možete iskoristiti programe poput GlassWirea, Little Snitcha ili Wiresharka). A je li ipak riječ o malwareu, provjerit ćete pomoću nekog dobrog antivirusnog ili antimalware softvera.

Iznenadne promjene u web-pretraživaču i automatsko otvaranje novih sajtova

Ako vam se na računaru iznenada promijeni početna stranica, iskoči vam neka nova traka s alatima ili želite pristupiti omiljenom blogu, ali umjesto toga bivate preusmjereni na neku novu adresu – to bi moglo značiti da imate posla sa zlonamjernim softverom. Ovo se često desi kada na nekom web-sajtu slučajno kliknete na neki link ili pop-up prozor, pa u tom slučaju trebate što prije skenirati sistem antivirusnim softverom. Isto vrijedi i ako primijetite da vam se neki programi iznenadno sami pokreću, ako vam se operativni sistem gasi bez razloga, ako primijetite čudne prozore prilikom pokretanja sistema ili vas Windows obavijesti da ste izgubili pristup nekom od svojih diskova.

Prijatelji vam govore da im stižu čudne poruke od vas

Ukoliko vas prijatelji obavijeste da im na društvenim mrežama ili preko e-maila stižu čudne poruke od vas, obično s pratećim linkovima i attachmentima, odmah trebate provjeriti jesu li poslane s jednog od vaših profila. Ukoliko to nije slučaj, mogla bi biti riječ o aplikaciji koja se nalazi van vašeg domašaja, pa samim time i van vaše kontrole. Ako se ipak ispostavi da poruke jesu poslane s vašeg profila, prvo se trebate odlogirati sa svih servisa na svim uređajima koje posjedujete. Nakon toga obavezno podesite nove lozinke koje bi trebale biti znatno komplikovanije u odnosu prethodne, jer čak i ako jeste hakirani, promjena šifri na svim servisima će smanjiti štetu.

I na kraju, počnite koristiti prednosti dvofaktorske autentifikacije. Uvođenje ove sigurnosne mjere trebalo bi znatno povećati i pojačati kontrolu koju imate nad sigurnošću svojih podataka.

Ima li razloga za brigu ako sve naizgled normalno funkcioniše?

Nažalost, ima. Postoje i slučajevi u kojima su različiti tipovi malwarea bili u stanju potpuno sakriti svoje prisustvo. Oni ničim ne odaju svoju aktivnost, ne ostavljaju nikakve vidljive tragove, a ipak su tu i već su zarazili vaš kompjuter. I dok vi mislite da je sve uredu, bot na vašem računaru samo čeka naredbu sa servera za komandu i kontrolu kako bi pristupio vašim privatnim podacima i počeo ih prikupljati za neku treću stranu. Ono što vi kao krajnji korisnik možete i trebate uraditi jeste na vrijeme se pobrinuti za dobru antivirusnu zaštitu i odgovorno koristiti internet.

Koji su to sve češći sigurnosni propusti i trojanci u browserima, popularnim programima i na društvenim mrežama koje svakodnevno koristimo? I kakve sve opasnosti leže u zanemarivanju i ignorisanju tih propusta?

Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com

Kod većine korisnika interneta vlada mišljenje da se hakerski napadi dešavaju nekom drugom, daleko od njih i njihovog računara. Međutim, činjenica je da su sigurnosni propusti pošast modernog doba u kojem živimo i radimo. Situacija je postala toliko ozbiljna da je Evropski parlament u junu ove godine objavio prijedlog nacrta zakona u kojem se u zemljama članicama Evropske unije predlaže zabrana upotrebe backdoor alata u servisima koji nude enkripciju. Odbor za građanske slobode, pravosuđe i unutrašnje poslove Evropskog parlamenta želi da sva buduća sredstva komunikacije, uključujući pristup internetu, aplikacije za razmjenu poruka, pozive, e-mailove i poruke na društvenim mrežama, budu u potpunosti sigurna od hakera i vladinih agencija. Ukoliko ovaj nacrt zakona bude usvojen, kompanije za pružanje pristupa internetu, browseri, proizvođači pametnih telefona i aplikacija bit će prisiljeni poštivati želje svojih korisnika da ne budu praćeni i da se bez njihove saglasnosti ne smiju prikupljati podaci o njima.

Opasnost backdoora

Backdoor predstavlja način zaobilaženja autentifikacije, odnosno manu u softveru koja hakerima i policiji omogućava neovlašten upad u sistem i pristup svim podacima korisnika. Neke države, poput SAD-a, često od popularnih servisa i kompanija zahtijevaju backdoor pristup za potrebe svojih tajnih službi i policije. U takvim slučajevima enkripcija vam ne vrijedi mnogo, jer vašim podacima mogu pristupiti ne samo državni organi nego i hakeri i svi oni koji imaju prave alate za iskorištavanje slabosti u popularnim programima i servisima. Nacrtom spomenutog zakona Evropske komisije predlaže se uvođenje potpune (end-to-end) enkripcije gdje god je to moguće, bez mogućnosti korištenja backdoora, kojeg bi, kao što je to do sada bio slučaj, mogle iskoristiti neke treće stane u svoju korist. “Države članice neće nametati bilo kakve obaveze pružaocima usluga elektronskih komunikacija koje bi rezultirale slabljenjem sigurnosti i enkripcije njihovih mreža i usluga”, stoji u nacrtu zakona.

Međutim, ovim zakonom nije u potpunosti riješen problem interneta stvari, u okviru kojeg sve više povezanih uređaja komunicira između sebe. Iako nisu trošili mnogo vremena na objašnjavanje toga kako bi ova vrsta komunikacije mogla izložiti građane sigurnosnim propustima, ipak su naveli da bi se ovaj prijedlog zakona trebao primjenjivati i na komunikaciju u okviru IoT-a.

Dumbo: ni web-kamere nisu sigurne

U augustu je WikiLeaks objavio dokumente o CIA-inom Dumbo hakerskom alatu, preko kojeg se udaljenim putem mogu kontrolisati web-kamere. Dumbo je u stanju suspendovati procese koji koriste kamere i uništiti videozapise koji bi mogli ugroziti CIA-in pristup napadnutom sistemu. Dakle, glavni cilj ovog alata jeste omogućavanje i iskorištavanje fizičkog pristupa ciljanim računarima tokom CIA-inih terenskih operacija.

Dumbo omogućava identifikaciju i kontrolu sistema za nadzor i detekciju, poput web-kamera i mikrofona, na Windows računarima. Međutim, alat zahtijeva direktan pristup ciljanom računaru pošto se pokreće s USB-a. Nakon toga operater alata može zaustaviti sve procese povezane s detektovanim uređajima (poput snimanja i nadgledanja) te detektovati audio, video i mrežne signale. Brisanje ili neki drugi vid manipulacije nad snimcima operateru olakšavaju stvaranje lažnih dokaza ili uništavanje pravih dokaza upada. Zaključak se sam nameće: mi, obični korisnici, nemamo potpunu kontrolu ni nad jednim modernim uređajem, iako volimo misliti drugačije.

Društvene mreže kao kanali

Nije rijetkost da zaposlenici posjećuju društvene mreže preko kompanijskih računara, ne vodeći pri tome računa o mogućoj šteti koju time mogu nanijeti firmi za koju rade. Ni na kraj pameti im nije da se u, recimo, komentarima na društvenim mrežama mogu nalaziti zlonamjerne poruke, koje na prvi pogled mogu djelovati poput običnog i neškodljivog spama. Tako je ove godine sigurnosna firma ESET upozorila da se među komentarima na Instagram profilu pjevačice Britney Spears nalaze komentari koji možda izgledaju kao spam, ali ih, zapravo, koriste hakeri kako bi koordinirali napade. U ovom konkretnom slučaju riječ je o ruskim hakerima koji koriste Firefox ekstenziju HTML5 Encoding 0.3.7, koja ima backdoor komponentu i koja zahvaljujući tome prikuplja podatke o napadnutom sistemu. Prikupljene podatke zatim šalje serveru za komandu i kontrolu.

Ekstenzija koristi bit.ly adresu da bi komunicirala sa svojim serverom, ali ona nije uključena u kod ekstenzije, već se nalazi u komentaru ispod fotografije objavljene na Instagramu. Ekstenzija zatim provjerava sve komentare kako bi pronašla komentar sa bit.ly adresom na koju se usmjeravaju žrtve. Za ovaj malware odgovorna je hakerska grupa Turla, poznata po tome što napada kompanije, državne i obavještajne službe, krade informacije i zatim ih prodaje onome ko za njih ponudi najviše novca. Turla koristi prethodno nepoznate propuste i socijalni inžinjering za kompromitovanje Windows, Linux i Mac OS računara. Stručnjaci naglašavaju da je korištenje društvenih mreža na ovaj način otežalo odbranu od malwarea iz prostog razloga što je jako teško razlikovati zlonamjerni od običnog saobraćaja na društvenim mrežama. Dakle, ono što vam izgleda kao spam na komentarima može komotno biti i kanal komunikacije nekog malwarea.

Android

Nedavno je otkrivena nova verzija poznatog mobilnog bankovnog trojanca Svpeng, koji je samo prošle godine preko Googleovih AdSense reklama zarazio više od 318.000 Android uređaja širom svijeta, a otkrili su ga stručnjaci Kaspersky Laba. Ove godine Svpeng koristi Androidov Accessibility Services, funkciju koja pomaže korisnicima koji ne mogu koristiti uređaj ručno (osobe s invaliditetom, ali i vozači u toku vožnje). Preko nje trojanac krade uneseni tekst iz aplikacija instaliranih na uređaju, bilježeći pri tome sve što korisnik ukuca, a ovaj put ima i veći pristup opcijama koje onemogućavaju korisniku da ga izbrišu s uređaja. Dakle, ovaj alat sada radi i kao keylogger, koji napadačima omogućava da od žrtava kradu povjerljive podatke poput onih o kreditnim karticama. 

Sigurnosni propusti na popularnim online destinacijama

Nažalost, praksa pokazuje da krajnji korisnici ne samo da posljednji saznaju da su njihovi privatni podaci ugroženi nego to ponekad saznaju godinama nakon što se nešto takvo dogodi. Yahoo je tek 2016. priznao da je 2014. godine bio meta hakerskog napada u kojem su ugroženi privatni podaci 500 miliona korisnika. Nisu bili pošteđeni ni korisnici Adult FriendFindera, sajta za upoznavanje partnera. Prošle godine hakirano je više od 400 miliona profila njihovih korisnika, pri čemu su procurili njihovi lični podaci, uključujući prava imena i e-mail adrese.

Prema procjenama američke kompanije Juniper Networks, troškovi cyber napada koštat će kompanije širom svijeta 2,1 trilion dolara do 2019. godine. Na svu sreću, napredni hakerski napadi često ostave neki inkriminirajući trag za sobom

Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com

Ubrzana digitalizacija dovodi do sve češćih i sve naprednijih hakerskih napada. Zato multinacionalne kompanije moraju u svom budžetskom planu imati više nego solidna sredstva kako bi održavali sisteme na nivou neophodnom za normalno funkcionisanje biznisa. Međutim, da bi se napadima doskočilo na pravi način, prvo treba utvrditi njihovo porijeklo. Evo i nekih osnovnih trikova kojima se pri tome služe sigurnosni stručnjaci:

Registracija domene

Iako hakeri često zakupe lažnu domenu kako bi izbjegli da antivirus detektuje njihov upad, čak i DNS registracije s lažnim imenima i adresama mogu sigurnosnim stručnjacima biti od pomoći kada treba ukazati na porijeklo pravog krivca koji stoji iza hakerskog napada. U nekim slučajevima hakeri u više različitih napada i na više različitih domena koriste iste lažne informacije, što stručnjacima omogućava da im lakše uđu u trag povezivanjem različitih napada s izvornim napadačem. Međutim, treba naglasiti da informacije o registraciji domene ne predstavljaju savršen indikator napadačevog porijekla, jer oni malo lukaviji hakeri mogu ubaciti obmanjujuće kontaktne podatke prilikom registracije i tako istražitelje skrenuti s pravog puta.

Raspored tipki na tastaturi

Sigurnosni stručnjaci mogu utvrditi i raspored tipki na tastaturi koja je korištena prilikom kreiranja određenog virusa tako što će pobliže ispitati charset atribut zaglavlja u phishing e-mailu. Prilikom većine phishing napada napadači koriste tastature sa standardnim rasporedom tipki, što ne upućuje ni na jednu državu posebno. Zato je posao određivanja porijekla napada dodatno olakšan u slučajevima kada se koriste nestandardne tastature.

Istražitelji iz IT sigurnosne kompanije FireEye došli su do zaključka da mnoge hakerske kampanje imaju znakove kreiranja na GB2312 setu znakova, što znači da su tipkane na tastaturi s mandarinskim jezikom koja se koristi u Kini, dok, recimo, tastature koje se koriste u Sjevernoj Koreji imaju KPS 9566 skup znakova. Ipak, ni ovaj metod ulaska u trag napadačima nije ni izbliza savršen, jer jedan haker iz Rusije može bez problema koristiti sjevernokorejski raspored tipki prilikom kreiranja zlonamjernog softvera, što stručnjake može navesti na lažni trag.

Ugrađeni fontovi

Fontovi korišteni prilikom phishing napada mogu biti od koristi kada se želi ući u trag izvoru naprednog hakerskog napada. Tako se zna desiti da sam phishing e-mail bude napisan na, recimo, ruskom jeziku, da bi stručnjaci provjerom korištenog fonta došli do saznanja da su korišteni korejski fontovi Batang i KPCheongPong. Kada tome dodaju i ostale dokaze u vidu servera za komandu i kontrolu te imena autora, dođu do zaključka da se napadač nalazi u Sjevernoj Koreji. Kako živimo u poprilično nestabilnim vremenima, otkrivanje porijekla nekog naprednog hakerskog napada ima ključnu ulogu u održavanju diplomatskih odnosa među državama, pa su ovakvi podaci time i dragocjeniji.

Metapodaci zlonamjernog softvera

Izvršni kod virusa često sadrži informacije o njegovom izvornom folderu, na isti način na koji i programi napisani u C++ programskom jeziku sadrže informacije o nazivu projekta. Time ovaj osnovni kod sigurnosnim stručnjacima može otkriti napadačev jezik ili državu porijekla, čak i u onim slučajevima u kojima su sam kod, ali i ostali aspekti napada prilagođeni jeziku mete napada.

Jezik

Nije rijetkost da haker u svojoj malware kampanji koristi jezik koji nije njegov maternji, što istraživače nerijetko dovede do njegovog pravog porijekla. Najočigledniji pokazatelji toga su pogrešno napisane riječi i gramatičke greške. Ako stvari ne djeluju na prvu tako očigledno, istražitelji se okreću detaljnijoj analizi, koja može pokazati da je napadač koristio sajtove za prevođenje teksta. Znajući na koji način popularni sajtovi za prevođenje barataju određenim riječima i izrazima, istraživači mogu s velikom tačnošću odrediti izvorni jezik kojim je napisan phishing email korišten pri napadu.

Konfiguracija alata za daljinsku administraciju

Alat za daljinsku administraciju (RAT) tip je malwarea koji hakeru pruža potpunu kontrolu nad tuđim računarom u stvarnom vremenu. Ovakav softver veoma je privlačan hakerima zbog svoje cjenovne pristupačnosti i dostupnosti, ali i zato što su RAT alati obično dobro testirani i opremljeni svim funkcijama potrebnim za uspješan cyber napad. Upravo zato što RAT može koristiti bilo ko – a sasvim različite hakerske grupe često koriste iste alate – ovaj tip zlonamjernog softvera može otežati identifikaciju porijekla napadača. Ipak, sigurnosni stručnjaci pronašli su način kako da doskoče i tome, a rješenje leži u jedinstvenoj kombinaciji alata. Naime, RAT nudi raznovrsne alate koje napadači mogu kombinovati kako žele, što dovodi do stvaranja jedinstvenih kombinacija postavki, na osnovu čega istraživači mogu razlikovati jednog napadača od drugog, iako, zapravo, koriste isti skup alata.

Ponašanje

S vremenenom cyber kriminalci razviju obrasce ponašanja, što znači da se fokusiraju na iste mete i tip industrije, te koriste iste servere za komandu i kontrolu. Proučavanjem njihova ponašanja sigurnosni stručnjaci profiliraju napadače, što je slično profiliranju koje policajci upotrebljavaju u svome poslu. Korištenjem informacija o ponavljajućem ponašanju stručnjaci mogu uočiti sklonost hakerske grupe ka određenom stilu napada i načinu na koji mu pristupa. Pomoćni alati i taktike koje napadači redovno koriste pomažu sigurnosnim stručnjacima prilikom profiliranja. Naprimjer, FireEye je imao slučaj u kojem su prikazana četiri odvojena hakerska napada u kojima su hakeri iskorištavali različite sigurnosne propuste, ali su svi ti napadi imali istu metu: u ovom slučaju, vjerske aktiviste. Osim toga, ispostavilo se da su svi virusi poslani s istog servera, što je na kraju dovelo do zaključka da su napadači članovi istog tima.

Kao što se može zaključiti na osnovu pročitanog, svi ovi faktori, ukoliko ih posmatrate odvojeno, uglavnom ne mogu dati potpunu sliku o porijeklu napadača. Tek kada se posmatraju u cjelini, oni vrše svoju funkciju i dovode do njegove identifikacije.

Slučaj “Sin Digoo”

Od 2004. do 2011. godine haker je, koristeći Hotmail e-mail adresu, registrovao više različitih domena pod istim imenom. Za fizičku adresu naveo je grad “Sin Digoo, Californa” (nepravilno napisano San Diego, California). Zahvaljujući informacijama o registraciji, istraživači iz FireEyea povezali su pojedinačne napade sa širim obrascem naprednih napada. Nakon toga su otkrili i to da su fontovi kojima se napadač koristio (Batang i KPCheongPong) korejski, kao i serveri za komandu i kontrolu korišteni prilikom napada, što im je otkrilo lokaciju s koje su napadi vršeni.

WannaCry je novi ransomware koji agresivno napada bolnice, kompanije i željeznice širom svijeta. Ovaj virus, koji se širi pomoću e-mail attachmenta, uspio je podići na noge međunarodne stručnjake koji pokušavaju otkriti ko tačno stoji iza ovog globalnog hakerskog napada.

Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com

WannaCry ransomware počeo se naglo širiti u petak, 12. maja, a u trenutku pisanja ovog teksta već je bilo zaraženo 230 hiljada računara širom svijeta, što je dovelo do prekida rada brojnih bolnica, kompanija, kao i smetnji u transportnim mrežama. Procjenjuje se da je više od 1,3 miliona sistema i dalje ranjivo na ovaj najnoviji zlonamjerni softver.

Napad su prvo počeli prijavljivati medicinski radnici u Britaniji nakon što su primijetili da im se računari počinju gasiti. Uspjeli su uhvatiti screenshotove WannaCrya, iz kojih se vidi da napadači traže 300 dolara u Bitcoin valuti kako bi fajlovi bili opet otključani – i to za svaki računar posebno. Osim bolnica, ovim napadom zahvaćene su i razne druge organizacije iz cijelog svijeta, uključujući Rusiju i Kinu. Treba napomenuti i to da je WannaCry poznat i kao Wanna Decryptor te “wcry”, a riječ je o virusu koji iskorištava propust u SMB (Server Message Block) protokolu u Windowsu.

Alat izvorno napravila NSA

Na ovaj napad ranjivi su samo Windows računari na kojima nije instalirana sigurnosna nadogradnja koju je Microsoft objavio prije nekoliko mjeseci, s tim da je kompanija sada objavila vanrednu zakrpu za nepodržane verzije Windowsa (XP, 8, Server 2003). Vjeruje se da je alate kojima je napad izvršen od NSA ukrala hakerska grupa Shadow Brokers. Hakeri su sve ukradene alate učinili javno dostupnim i besplatnim, a kao razlog krađe naveli su protest protiv američkog predsjednika Trumpa.

Kako je dan odmicao, stigle su dodatne prijave napada, većinom iz evropskih država. Međutim, prema nekim izvještajima, izgleda da je Rusija najviše zahvaćena, pa su njena ministarstva unutrašnjih poslova, zdravstva, kao i domaće banke te ruska željeznica svi odreda prijavili ovaj hakerski napad. Prijavila ga je i druga po veličini mreža mobilne telefonije u Rusiji, a zahvaćeni su, između ostalog, i Portugal Telecom, okružna vlast u Švedskoj, njemačka željeznica te FedEx. I u Španiji je napadnut veliki broj kompanija i organizacija, uključujući i njihovog telekomunikacijskog giganta Telefonicu, dok je u Francuskoj napad prijavio poznati proizvođač automobila Renault, koji je bio prisiljen obustaviti rad u nekoliko fabrika. Što se tiče naše regije, u početnoj fazi širenja WannaCry ransomwarea inficiran je glavni informatički sistem hrvatskog MUP-a.

IT sigurnosni stručnjak Ori Eisen, osnivač sigurnosne kompanije Trusona, upozorava da se isti ovakav napad može usmjeriti na kritičnu infrastrukturu poput nuklearnih elektrana i brana.

Napad na zdravstvene institucije

Ono što posebno zabrinjava jesu posljedice s kojima se zbog ovog razornog napada suočavaju bolnice. Naime, među najteže pogođenim su organizacije Nacionalne zdravstvene službe (National Health Service) u Engleskoj i Škotskoj, što je prouzrokovalo neviđen haos u njihovom funkcionisanju. Napad je praktično blokirao više od trećine NHS bolnica, a najveću štetu su, naravno, pretrpjeli pacijenti, koji nisu mogli doći na zakazane preglede, među kojima su i srčani bolesnici, kojima su zbog kolapsa sistema otkazane operacije srca.

Koliko je situacija alarmantna, pokazuje potez čelnika zahvaćenih zdravstvenih institucija, koji su zbog pritiska javnosti (ali i zbog glasina da napadači već imaju novu verziju virusa) odlučili što brže nadograditi svoj softver. Jedan od NHS-ovih radnika, koji je htio ostati anoniman, rekao je da je napad posljedica phishinga: “Dobijamo mnogo spama i izgleda da je nešto poslano svim organizacijama u zemlji. Ostale bolnice su upozorene da ne otvaraju ove e-mailove.”

U Europolu su izjavili da će njihov tim stručnjaka za IT sigurnost podržati sve zemlje pogođene napadom u okviru velike međunarodne istrage kako bi ušli u trag počiniteljima, ali šteta je već napravljena – i to zbog činjenice da su na mnogim računarima bile instalirane nepodržane verzije Windowsa.

Međutim, kada je riječ o osiguravanju zdravstvenih ustanova od hakerskih napada, situaciji ne pomaže ni činjenica da većina ovih organizacija teži ka tome da svoje sigurnosne mjere učini “pametnijim” kroz povećanu umreženost i velike podatke. Iako ovo nudi veliki potencijal kada je riječ o mijenjanju trenutnog (i zastarjelog) modela zdravstvene njege, sve to, nažalost, podrazumijeva i veću opasnost od hakerskih napada zbog iste umreženosti, koja ima toliko dobrih strana.

Kako funkcioniše WannaCry ransomware?

Za razliku od većine drugih zlonamjernih programa koji se oslanjaju na to da će ih ljudi proširiti klikanjem zaraženog attachmenta, kada WannaCry dospije u neku organizaciju, on samostalno pronalazi ranjive računare napadajući ih na isti način. Virus je zasnovan na EternalBlue alatu, koji je osmislila NSA radi upada u “nezakrpljene” verzije Windowsa, a koji je Shadow Brokers grupa objavila zajedno s drugim NSA-inim alatima 14. aprila ove godine.

Iako smo već ranije pisali o tome šta je, zapravo, ransomware, o načinu na koji funkcioniše te metodama zaštite od njega, još jednom ćemo ponoviti osnovne stavke prevencije nastanka štete od njegovog napada. Kao prvo, najbolje bi bilo da imate backup svih bitnih podataka na nekom potpuno odvojenom sistemu koji uopšte nije povezan s internetom i kojem pristupa ograničen broj ljudi. I kao drugo, opet vrijedi naglasiti vrijednost edukacije, jer kada već znate bitne informacije o tome kako funkcionišu zlonamjerni programi, polovina posla na zaštiti podataka već je odrađena. Recimo, ako zaposlenici već znaju da se virusi uglavnom instaliraju preko zaraženih priloga u e-mailovima i linkova koji vode na zaražene web-sajtove, onda znaju i da ne trebaju neselektivno klikati na sve što im se prikaže na ekranu.

Dakle, sumnjičavost neka vam bude na prvom mjestu u mislima svaki put kada primite neki neželjeni e-mail ili dobijete želju da jednostavno kliknete na neki link koji vas vrlo lako može odvesti na zaraženi web-sajt. Kada svemu tome dodate i dobar, provjeren antivirusni softver, stvari bi trebale biti pod solidnom kontrolom.

Slučajni kill switch usporio napad ransomwareom

Analitičar za sajbersku sigurnost iz Britanije, poznat pod imenom MalwareTech, uspio je nakratko usporiti napade tako što je pronašao određenu domenu u samom kodu “crva”, koju je ovaj koristio za napade. Kada je registrovao pronađenu domenu, automatski se aktivirao kill switch u kodu virusa. Svaki put kada bi WannaCry zarazio računar, pokušao bi naći i web-sajt na spomenutoj domeni. Ukoliko ga ne bi pronašao, nastavio bi s napadom, a ukoliko bi – prestao bi funkcionisati. Iako je ovaj potez spriječio hiljade mogućih napada, stručnjaci upozoravaju da hakeri mogu prepraviti kod malwarea i tako omogućiti nastavak napada.

Budžeti kompanija poput Applea i Googlea namijenjeni sigurnosti veći su od bruto domaćeg proizvoda nekih zemalja. Šta da onda rade i kako da se na što isplativiji način od hakiranja zaštite manje kompanije, pročitajte u nastavku

Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com

Kako troškovi IT sigurnosti zbog cyber kriminala rastu nevjerovatnom brzinom tako kompanije širom svijeta moraju sve brže reagovati kako bi zaštitile svoju imovinu. Zato vam u ovom broju donosimo mišljenja stručnjaka o nekim od najjeftinijih mjera koje možete poduzeti kako bi se zaštitili od ovih modernih prijetnji po poslovanje.

Nemjerljivi troškovi kao posljedica napada

Naravno, nemoguće je potpuno precizno odrediti gubitak koji su kompanijama izazvali svi hakerski napadi do sada, ali prema nekoj uopštenoj procjeni IBM-a i Ponemon instituta, prosječni gubitak velikih američkih korporacija nastao zbog krađe podataka u režiji cyber kriminalaca u prosjeku iznosi četiri miliona američkih dolara. S druge strane, istraživačka kompanija Cybersecurity Ventures tvrdi da je ukupni gubitak usljed cyber kriminala u 2015. iznosio tri triliona američkih dolara te da će se popeti na šest triliona dolara godišnje do 2021. godine! Na svu sreću, neke kompanije, poput Grant Thornton Internationala, računaju na to da će brojke biti nešto niže. Prema njihovoj procjeni, direktni gubici iznosit će otprilike 300 milijardi dolara godišnje. Vrijeme će pokazati ko je od njih bio upravu. Ovdje opet dolazimo do glavnog problema, zbog kojeg se brojke stalno penju naviše: kompanije i dalje propuštaju da poduzmu sve što je u njihovoj moći kako bi se zaštitile od hakerskih napada ili barem umanjile štetu ukoliko do nje dođe. U prilog tome govori Gemaltova lista incidenata, prema kojoj je samo u 2013. ukradeno skoro šest milijardi podataka, dok je samo 4% posto njih bilo enkriptirano i samim time beskorisno cyber kriminalcima.

Nije sve ni tako crno

Ipak, nije sve ni tako crno jer, kako kaže Dave Clemente, glavni istraživač tima zaduženog za IT sigurnost u računovodstvenoj kompaniji Deloitte: „Klijenti su danas mnogo svjesniji neophodnosti zaštite podataka od hakiranja nego što je to bio slučaj u prošlosti. Povećanoj svijesti doprinijelo je i širenje zakona koji od američkih kompanija zahtijevaju da vlastima prijave svaki hakerski napad, a pretpostavlja se da će se isto desiti i u Evropi od 2018. godine, kada bi na snagu trebala stupiti Uredba o generalnoj zaštiti podataka. Nakon njenog stupanja na snagu od evropskih kompanija koje čuvaju podatke zahtijevat će se da prijave svaki napad na sistem“. Osim toga, Clemente tvrdi da su i brojni medijski popraćeni slučajevi krađe podataka i hakerskih napada na velike kompanije poput Sonyja također doprinijeli tome da firme budu savjesnije i dosta realnije gledaju na mogućnost cyber napada. “Većina kompanija zna da će, ako se to do sada nije desilo, najvjerovatnije biti napadnute ili da su možda već bile napadnute, ali da toga nisu svjesne”, naglasio je Clemente.

Međutim, uprkos povećanoj svijesti o hakerskim napadima na pojedinačnom nivou, hakeri i dalje najčešće dolaze do podataka kompanija putem socijalnog inžinjeringa, jer one nikada neće biti u stanju da baš svakog zaposlenika upoznaju s opasnostima i metodama kojima se koriste hakeri putem phishing e-mailova.

Raste opasnost od ransomwarea

Iako su finansijski podaci i dalje glavni izvor zarade cyber kriminalaca, raste i broj napada koji uključuju promjenu i falsifikovanje podataka. Jedan od primjera toga jeste hakerski napad na Twitter profil Associated Pressa, kada je hakerska grupa Sirijska elektronska armija objavila lažnu vijest o napadu na Bijelu kuću. Odmah nakon te vijesti cijene na berzama su pale. Dakle, iako napad na neku kompaniju ne mora imati isključivo finansijski motiv, itekako može nanijeti štetu meti napada, a kada je riječ o velikim korporacijama, ovakva manipulacija može dovesti do pada vrijednosti dionica same kompanije i poljuljati njenu stabilnost. Treba imati na umu i to da trenutno u najvećem postotku raste opasnost od ransomwarea, ucjenjivačkog softvera o kojem smo detaljnije pisali u prošlim brojevima magazina. Naime, cyber kriminalci ovu metodu napada najčešće koriste upravo na manjim firmama koje nemaju sredstava da se bore protiv napada, a da ne ugroze svoj posao. Kako bi ih otkupnina često koštala manje nego zapošljavanje sigurnosnog stručnjaka, manje firme često se odlučuju na to da jednostavno plate traženu sumu kako bi povratile kontrolu nad svojim podacima.

Ipak, svi stručnjaci slažu se u jednom: menadžment manjih firmi ne bi se smio prepuštati bezvoljnosti i ne raditi ništa na njihovoj zaštiti od napada. Bez obzira na to što ni velike kompanije poput Yahooa nisu mogle uvijek zaštititi svoju imovinu od ovakvih upada, ne treba se tek tako prepustiti slučaju.

Najefikasniji načini zaštite za male firme

Kako onda na najjeftiniji način zaštititi firmu od hakerskih napada? Svi znamo da velike kompanije, poput Googlea i Applea, ulažu velike sume novca u cilju odbrane od hakerskih napada svih vrsta. Međutim, šta da rade kompanije koje to sebi ne mogu priuštiti, ali bi ipak da učine sve što je u njihovoj moći da se zaštite? Stručnjaci smatraju da je ključni element svake sigurnosne politike fokusiranje pažnje na prava mjesta. Elle Todd, koja se nalazi na čelu tima za medije i tehnologiju u advokatskoj firmi Olswang, smatra da kompanije moraju imati pri ruci realan i praktičan plan koji će im pomoći u borbi protiv hakerskih napada. Pod time misli na to da svaka firma mora prije svega identifikovati one najbitnije i najosjetljivije podatke kojima raspolaže, pa zatim razviti strategiju kojom će ih zaštititi ili barem ublažiti napade koristeći se enkripcijom. Ovo bi, za mnoge firme, mogao biti najefikasniji i najisplativiji način zaštite podataka i borbe protiv hakerskih napada. A ako uz to još zamijene obične šifre kompleksnijim autentifikacijskim sistemima – onda su zasigurno na pravom putu da zaštite osjetljive podatke. Međutim, proći će još mnogo vremena prije nego što sve kompanije shvate vrijednost i neophodnost zaštite od hakerskih napada. Većina njih svjesna je da su napadi neizbježna posljedica digitalizovanog svijeta u kojem živimo i radimo, pa odgađaju ulaganje sredstava u što bolju zaštitu od cyber kriminalaca. Tek kada dođe do napada, shvate šta on tačno podrazumijeva. Samo se pobrinite da vi ne budete među njima.

Nova prijetnja iz IoT sektora

Prošle godine smo prvi put bili svjedoci hakerskog napada preko interneta stvari. Riječ je o napadu ransomwareom putem pametnog Android televizora. Nakon toga na digitalnoj sceni se pojavio Mirai botnet, kojim je napadnut i slavni web-sajt koji se bavi IT sigurnošću Brian Krebs on Security. Ovaj botnet pretražuje internet u potrazi za povezivim uređajima poput CCTV kamera i routera, pa ako su ovi neosigurani ili zaštićeni samo jednostavnom lozinkom, zarazi ih trojancem, koji se kasnije može iskoristiti za pokretanje napada.

WikiLeaks je u martu objavio prvi dio velikog broja insajderskih dokumenata o CIA-i i njenim metodama špijuniranja korisnika preko svih modernih uređaja, koji je uznemirio javnost i zajednicu IT sigurnosnih stručnjaka. Objedinjeni pod imenom Vault 7, dokumenti skreću pažnju na trenutne probleme u sveprisutnoj umreženosti i internetu stvari

Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com

U centru nedavnih dešavanja koja bacaju novo svjetlo na sigurnost popularnih uređaja i IT sistema nalazi se WikiLeaksova nova kolekcija obavještajnih dokumenata po imenu Vault 7. Ovi fajlovi, za koje sigurnosni stručnjaci kažu da su, po svemu sudeći, autentični, CIA-u predstavljaju u veoma lošem svjetlu i otkrivaju tajne pomoću kojih agencija špijunira korisnike modernih uređaja. Riječ je o seriji dokumenata, koji imaju skoro 8.000 stranica, a koje još nisu potpuno pregledali sigurnosni stručnjaci i nevladine organizacije. U WikiLeaksu tvrde da im je njihov izvor predao tajne dokumente kako bi se u javnosti razvila debata o moći koju obavještajne agencije poput CIA-e imaju, kao i načinima na koje bi se informacije koje ta agencija posjeduje trebale razotkrivati. Međutim, s aspekta IT sigurnosti, Vault 7 pokreće niz pitanja o sigurnosti IoT sistema te uređaja i aplikacija koji se često koriste i unutar kompanija. Nepokrpljene propuste koje koristi jedna obavještajna agencija može koristiti i druga, ali i cyber kriminalci. U nastavku pročitajte šta je to za sada otkrio Vault 7.

“Provaljivanje” u sve popularne OS-ove i vrste uređaja

CIA je tokom niza godina bila uključena u pravljenje različitih vrsta zlonamjernog softvera, koji je njenim agentima omogućavao špijuniranje korisnika mobilnih uređaja. Agencija može špijunirati Android i iOS, ali i korisnike računara s Windows, Mac OS i Linux operativnim sistemima. Umjesto da to postigne razbijanjem enkripcije aplikacija poput WhatsAppa, CIA pomoću svojih alata, zapravo, preuzima kontrolu nad cijelim uređajem. To, između ostalog, rezultira zaobilaženjem zaštite koju imaju sve slične aplikacije za instantno slanje poruka, ali glavni cilj joj je zadobiti kontrolu nad cijelim uređajem. Prema Vault 7 dokumentima, agencija može udaljeno kontrolisati uređaje, uključivati ih i isključivati po želji, te prisluškivati sve što se kaže preko mikrofona ili snimi kamerom. Neke od ovih alata CIA je kupila od hakera, što podvlači činjenicu da kreiranje i skupljanje propusta u IT sistemima može biti „mač s dvije oštrice“.

Aplikacije za enkriptirano slanje poruka gube svoju ulogu

Činjenica je da su aplikacije za instantno slanje poruka, poput WhatsAppa i Telegrama, sigurne samo u onoj mjeri u kojoj su sigurni uređaji na kojima se one koriste. To nas dovodi do sljedećeg problema: ukoliko operativni sistem bude kompromitovan, onda se sve te enkriptirane poruke mogu pročitati i prije nego što uopšte budu poslane primaocu! Samo zamislite da vam neko, naprimjer u javnom prijevozu, čita poruke dok ih vi kucate i na taj način prati vašu konverzaciju s nekom osobom. Upravo takvu stvar, kako tvrdi WikiLeaks, radi CIA. Zahvaljujući tome, enkriptiranje komunikacije skoro u potpunosti gubi svoj smisao.

Imate pametni TV? Ne, imate prislušni uređaj!

Dokumenti su otkrili posebnu tehniku nadzora, kodnog naziva Weeping Angel, koju je CIA koristila kako bi preuzimala kontrolu nad pametnim televizorima. Otkriveno je da se Samsungovi pametni televizori mogu držati u lažnom off modu: nakon instalacije malwarea, napadači vaš TV-uređaj pretvaraju u prislušno sredstvo, te čak i kada vi mislite da je televizor ugašen, on je, zapravo, upaljen i bilježi sve što kažete u njegovoj blizini. Ovo je samo jedna od novih tehnika špijunaže koju je napravilo specijalno odjeljenje CIA-e Embedded Devices Branch. Implikacije po upotrebu interneta stvari, kako u domovima tako i u kompanijama, nemjerljive su, pa bi proizvođači takvih sistema trebali uložiti više truda da razviju sisteme otporne na ovakav vid zloupotreba.

Preuzimanje kontrole nad IoT vozilima

Posebno je zabrinjavajuće to što u jednom od dokumenata stoji da je CIA još 2014. godine istraživala načine na koje može hakirati i preuzeti kontrolu nad tuđim IoT vozilima, tj. njihovim sistemima i mrežnim komponentama. Iako se za sada samo nagađa zbog čega bi obavještajna služba željela imati ovakve mogućnosti, ranjivost IoT vozila u svakom slučaju smanjuje sigurnost vozača i saobraćaja. Ovo nije prvi put da se govori o hakiranju automobila: 2015. godine Chrysler je povukao s tržišta 1,4 miliona svojih automobila nakon što su sigurnosni stručnjaci demonstrirali hakiranje vozila i preuzimanje kontrole nad njihovim kočnicama, ubrzanjem, upravljanjem i drugim sistemima.

CIA sprečavala popravljanje sigurnosnih propusta?

Vault 7 dokumenti pokazuju da je CIA skrivala i samo gomilala sigurnosne propuste do kojih je dolazila, umjesto da ih otkrije kompanijama kako bi ih one na vrijeme popravile. To se odnosi na bugove u raznim uređajima, uključujući i Appleove telefone i računare, te uređaje za čiju su sigurnost zadužene kompanije poput Microsofta i Googlea. WikiLeaks je naglasio da nerazotkriveni zlonamjerni softver i sigurnosni propusti za koje je CIA znala utječu ne samo na obične korisnike nego i na članove američke vlade, direktore vodećih kompanija, inžinjere, sistemske administratore i ostale ljude na vodećim pozicijama koji koriste računarsku opremu. To je otvorilo put hakerima iz cijelog svijeta da ove propuste iskoriste za profitiranje čim ih otkriju. Međutim, nije sve baš tako crno, pošto su u Appleu i Googleu izjavili da je većina problema do sada otkrivenih u WikiLeaksovim dokumentima već ispravljena. Također, analizirajući Vault 7 fajlove, Cisco je otkrio ozbiljan propust koji zahvata 300 njegovih routera i switcheva te omogućuje napadačima pokretanje zlonamjernog softvera, restartovanje uređaja i preuzimanje kontrole nad njima pokretanjem zlonamjernog softvera. U trenutku pisanja teksta ispravka ovog problema još nije bila dostupna, pa se korisnicima savjetuje da isključe Telnet na ranjivim uređajima (između ostalog, riječ je o Catalyst switchevima, industrijskim mrežnim switchevima i Cisco Embedded Services switchevima). Za očekivati je da ovaj propust ubrzo bude popravljen.

Zaraženi programi i sigurnost antivirusa

Od popularnih antivirusa CIA je označila Comodo kao izuzetno jak, komplikovan i pogodan za paranoične korisnike (to se ne odnosi na verziju 6), dok su AVG, Avira i F-Secure opisani kao lagani za zaobići. Agencija također ima program kreiranja zaraženih verzija popularnih programa poput VLC playera, Firefoxa, IrfanView preglednika slika, Opere, 7-Zip arhiverskog alata, Chromea, prijenosnih Sophosovih, Kasperskyjevih i McAfeejevih alata, Skypea, Foxit PDF čitača i mnogih drugih. Agencija prijenosne verzije ovih alata pokreće na računarima žrtvi i na taj način prikuplja željene podatke s računara mete.

U prošlom broju pisali smo o zaštiti od unutrašnjih IT prijetnji, a neke uključuju skidanje zlonamjernog softvera klikanjem na sumnjive linkove, sajtove itd. Jedna od mogućih posljedica toga je i instalacija rootkita, nezgodnog softvera kojeg je veoma teško otkriti, a koji predstavlja sredstvo izvršavanja brojnih hakerskih napada u kompanijama

Piše: Vesna Matić-Karić
E-mail: redakcija@asadria.com

Prije svega, treba razjasniti šta je, zapravo, rootkit. Termin je nastao iz dvije riječi: “root” je UNIX/Linux termin koji je ekvivalent terminu “administrator” u Windowsu, a “kit” označava dijelove softvera koji omogućavaju instalaciju i rad rootkita, s tim da se to dešava bez pristanka i znanja korisnika. Rootkitovi su veoma složeni i podložni su konstantnim promjenama, zbog čega je u mnogim slučajevima teško shvatiti sa čime, zapravo, imate posla. To je istovremeno i razlog zašto su frustrirajući – zbog njihove sofisticiranosti prilično je teško znati je li neki instaliran na vašem računaru.

Zašto se koriste?

Rootkitovi imaju dvije primarne funkcije: udaljenu kontrolu i prikupljanje podataka. Oni postoje kako bi nekoj osobi omogućili da, na legitiman ili nelegitiman način, kontroliše tuđi kompjuter u ulozi administratora. To podrazumijeva upravljanje fajlovima, pristupanje zabilješkama, praćenje aktivnosti korisnika, pa čak i mijenjanje konfiguracije kompjutera. Ova činjenica nerijetko izaziva čuđenje kod korisnika, pošto uglavnom smatraju da su svi rootkitovi automatski zlonamjernog karaktera, ali ne moraju biti maliciozni sami po sebi, već to postaju u pogrešnim rukama.

Na koji način se šire?

Rootkitovi se ne mogu širiti samostalno, jer predstavljaju samo jednu od komponenti onoga što zovemo višefunkcionalnom prijetnjom. Ova vrsta prijetnje obično se sastoji od tri dijela: alata za instaliranje (droppera), za učitavanje (loadera) te rootkita. Dropper pokreće instalaciju rootkita nakon što korisnik ciljanog računara klikne na zlonamjerni link, zatim se pokreće loader te se nakon toga dropper briše. Aktivni loader zatim ubacuje rootkit u memoriju računara. Na taj način multifunkcionalna prijetnja pronalazi svoj put do žrtve kroz socijalni inžinjering, iskorištavajući poznate propuste, ili metodom grube sile.

Rootkitovi korisničkog nivoa

Najjednostavnija vrsta ovog softvera jeste rootkit korisničkog nivoa, koji se na računaru pokreće s administratorskim privilegijama, što mu omogućava da izmijeni sigurnosne postavke i sakrije procese pokrenute u operativnom sistemu. Rootkit korisničkog nivoa ostaje instaliran na zaraženom kompjuteru tako što kopira potrebne fajlove na hard disk, pa se automatski pokreće pri svakom podizanju sistema. Ovaj tip rootkita zapravo je jedini kojeg tradicionalni antivirusi mogu relativno uspješno detektovati.

Kernel rootkitovi

Shvativši da “obični” rootkitovi mogu biti otkriveni pomoću softvera za detekciju rootkitova koji radi u kernel modu, kriminalci su razvili i rootkitove koji rade u istom modu. Hakeri su ovim potezom u funkcionalnom smislu izjednačili rootkit s operativnim sistemom i anti-rootkit softverom. Međutim, ni ovakav tip rootkita nije savršen, pošto se otkrilo da je poprilično nestabilan. I zato, ako vam nekada iskoči “plavi ekran”, a s hardverom i driverima je sve uredu, onda trebate posumnjati na kernel rootkit.

Hibridni rootkit

Osim nabrojanih, postoje i hibridni rootkitovi, koji se sastoje od rootkita korisničkog nivoa i kernel rootkita. Njih su hakeri razvili jer su htjeli dobiti najbolje iz oba svijeta, a rezultat je zlonamjerni hibridni alat koji kombinuje karakteristike rootkita korisničkog nivoa (kao što su stabilnost i jednostavnost) te kernel rootkita (izbjegavanje detekcije). Ovo su razlozi zbog kojih je hibridni rootkit postigao veliku popularnost među cyber kriminalcima.

Rootkitovi koji napadaju fabrički softver (firmware rootkitovi)

Rootkitovi koji se “gnijezde” u fabričkom softveru predstavljaju značajan skok u njihovoj sofisticiranosti, budući da mogu biti bilo koji tip već nabrojanih rootkitova, ali s jednom bitnom razlikom – mogu se kriti u firmwareu i kada je računar ugašen. U tom slučaju, kada ponovo pokrenete računar, rootkit će se opet instalirati čak i ako formatirate hard disk. Ovako izmijenjen firmware može biti bilo šta, od procesorskog koda do fabričkog softvera PCI kartica. Naravno, ako antivirusom čak i uklonite ovaj tip rootkita, čim sljedeći put upalite računar, on će se opet automatski instalirati. Dosadno, zar ne?

Virtuelni rootkitovi

Virtuelni rootkit relativno je nov pojam, a predstavlja se kao softverska implementacija hardverskih setova na sličan način kao i VMware virtualizacijski alat. Ova tehnologija izazvala je popriličnu paniku među korisnicima i to zbog jednog razloga – virtuelni rootkitovi mogli bi biti potpuno nevidljivi. Osim toga, ovakvi rootkitovi u stanju su kroz određeni nivo virtualizacije presresti sve događaje i akcije na zaraženom računaru, uključujući i ukucavanje lozinki i drugih osjetljivih podataka – te ih proslijediti napadaču. Za sada ova vrsta rootkitova postoji kao koncept i nisu uočeni slučajevi njihovog korištenja u stvarnim hakerskim napadima i kampanjama.

Problemi koji mogu ukazati na prisustvo rootkita:

Čak i iskusni sigurnosni stručnjaci imaju problema s otkrivanjem rootkitova, ali ono na šta trebate obratiti pažnju, a što bi moglo ukazivati na njihovo prisustvo, jesu sljedeće anomalije:

• Ako se vaš kompjuter iznenada zaglavi ili ne reaguje na naredbe mišem ili tastaturom, to može ukazivati na kernel rootkit.
• Razloga za zabrinutost imate i ukoliko vam se postavke u Windowsu iznenada i bez dozvole promijene, recimo ako taskbar jednostavno nestane ili se promijeni screensaver.
• Ukoliko se web-sajtovi ili mrežne aktivnosti pojavljuju nasumično ili funkcionišu nepravilno zbog prevelikog mrežnog saobraćaja.
• I posljednji simptom, koji je ujedno i najvažniji, jeste usporavanje mreže. Naime, rootkitovi ne mogu sakriti povećanje saobraćaja, naročito ako se računar ponaša kao dio botneta – šalje spam ili učestvuje u DDoS napadu.

Međutim, vrijedi naglasiti da, ukoliko rootkit funkcioniše ispravno, onda skoro nijedan od navedenih simptoma neće biti uočljiv.

Upotreba rootkita na čitačima bankovnih kartica

Prije nekoliko godina Evropa je bila pogođena sofisticiranim napadom informatičkih kriminalaca iz Kine i Pakistana. Oni su firmware rootkitom zarazili čipove u čitačima kreditnih kartica, što im je omogućilo da prave kopije kartica, koje su zatim koristili za neovlaštene novčane transakcije i stvaranje štete, koja se mjeri u desetinama miliona dolara. Pretpostavlja se da su ove mašine kriminalci “prilagodili” sebi u toku same proizvodnje u Kini ili odmah nakon njihovog silaska s proizvodne trake, nakon čega su bile razaslate u prodavnice širom Velike Britanije, Irske, Danske, Holandije i Belgije. Problem je otkriven intervencijom MasterCarda, nakon što su stručnjaci kompanije primijetili neregularnosti u isplatama.