Ovotjedna objava napada kineskih hackera na Google i tridesetak drugih američkih kompanija izazvala je brojne i glasne reakcije, no vjerujem da stručnjaci za računalnu sigurnost nisu previše iznenađeni tehničkim aspektom ovog ofenzive (ja sam o tome pisao tijekom ljeta prošle godine). Tijekom 2009. mogla su se pročitati brojna upozorenja o transformaciji klasičnih računalnih prijetnji i tehnika napada koju ove prijetnje koriste, uz najave trenda koji se upravo manifestirao. Frontalni i pompozni napadi kojima je cilj stvaranje publiciteta su odavno zastarjeli. Nastupilo je razdoblje diskretnih i ciljanih napada, usmjerenih na poznatu žrtvu. Cilj napadače nije steći pet minuta slave što je brže moguće, već strpljivim djelovanjem doći do svojih ciljeva, ma kakvi oni bili - od podataka iz kartičnog poslovanja pa do povjerljivih poslovnih tajni. Slava, pri tome, uopće nije bitna.
Suština ove taktike je slijedeća: sofisticiranim tehnikama prodire se u mrežu žrtve, a odmah potom se korišteni alati odbacuju poput padobrana, te se napadač ukopova u dostupnu nišu, zadržavajući prikrivenu i stalnu vezu sa nalogodavcima. Napadač se u drugoj fazi može ponašati donekle ležernije i na raspolaganju mu je dovoljno vremena da otkrije i iskoristi brojne nedostatke unutarnje mreže. Postavljeni cilj je na dohvat ruke. Pored toga, treba znati da klasični obrambeni mehanizmi - firewall i antivirusna zaštita - nisu nimalo djelotvorni kod ovih napada.
Činjenica da je slučaj Google razvikan i razvučen po svim medijima ne poriče moju tezu da slava nije motiv ovih napada. Ovaj slučaj je razvikan prije svega zato što je Google to htio, iz vlastitih razloga kojima se bave vanjskopolitički novinari.
Vjerujem da ste već doznali da su napadači u slučaju Google zloupotrebili zero-day ranjivost u Internet Exploreru (a ne nedostatak Acrobat Reader-a, kako se u prvi mah pomislilo). Nije mi poznato zbog čega Google koristi IE pored vlastitog preglednika za kojeg tvrde de je sigurnosno besprijekoran. Objašnjenje da su kompromitirana računala služila testiranju nisu najuvjerljivija...
Kineski su napadači nekom od tehnika socijalnog inžinjeringa naveli žrtvu da posjeti web stranicu sa malicioznim kodom, odmah potom je računalo žrtve bilo zaraženo, a instalirani program je uspostavio siguran i kriptiran kanal, prema komandnom centru iz kojeg je primao naredbe. Nije poznato što je točno napadač radio nakon toga, tvrdnje o krađi podataka o mail računima kineskih disidenata treba tek potrditi.
Na tehničkoj razini nema iznenađenja, no na socijalnoj ili političkoj razini ovi će slučajevi uzrokovati nekoliko značajnih pomaka.
Ovaj napad dokazuje da su ciljani napadi postali realnost ne samo kod ekstremno atraktivnih i vrijednih ciljeva - npr. prema američkim vladnim institucijama - nego i u poslovnom svijetu. To, nažalost znači, da se tehnike napada približavaju komodizaciji, a samo je pitanje vremna kada će kompetencije armije kineskih hackera - možda bi "armija" trebalo pisati s velikim A, postati dostupna i običnim smrtncima - mislim na one sa crne strane.
Stoga bi svi praktičari upravljanja rizicima morali prilagoditi standardne procjene koje se odnose na visinu prijetnji malicioznog ljudskog faktora. Ove prijetnje postaju sve realnije, a motiviranost i znanje su svakako značajne kompetente prijetnji koje dolaze, ne samo iz okruženja kineske armije hackera, nego i iz iz drugih sličnih laboratorija.
Naravno, pretpostavljam da ste komponentu utjecaja računalnih ranjivosti već ranije povećali.
Na kraju, kako se obraniti od ovih prijetnji. Pored mjera koje sam naveo u tekstu o slučaju Heartland, mislim da će još jedna mjera naći svoje opravdanje (iako, priznajem, do sada nisam striktno inzistirao na ovoj mjeri). Naime, do sada se očekivalo da su isključivo perimetarske adrese izložene vanjskim napadačima, pa se testovima nastojalo simulirati maksimalnu kompetenciju i sposobnost ovih napadača. Interni testovi su bili rijetki i, rekao bih, površni (obično se računalo na relativnu dobronamjernost i umjerenu tehničku kompetenciju internih korisnika). Ovo će se definitivno morati promjeniti. Testiranje sigurnosti interne mreže morati će uzeti u obzir i negativni potencijal napadača ubačenih iz vanjskog okruženja.
Nema komentara:
Objavi komentar