29.1.09

Heartland: najveća krađa podataka do sada?

Siječanj je, izgleda, rezerviran za rekorde u računalnom kriminalu. Ove godine imamo Heartland Payment System, šestog po veličini američkog procesora kartičnih transakcija. Konačni izvještaji nisu još dostupni, no pretpostavlja se da je incident otkriven krajem 2008. opsegom premašio krađu podataka u TJX-u iz 2007. Nije još poznat ni karakter ukradenih podataka (Heartland, naravno, nastoji ublažiti javni efekt), kao ni tehnika izvedbe. Ipak, pretpostavlja se da je maliciozni program, smješten u kritičnom dijelu sustava, bilježio obrađivane transkacije (Heartland obrađuje oko 100 milijuna transakcija mjesečno). Treba reći da je Heartland obrađivao transkacije koje su realizirane u nizu manjih dućana i restorana širom Sjedinjenih država (Internet transkacije jedva da su i bile zastupljene)

Na tehničke okolnosti ću se vratiti kada budu poznati rezultati istrage, no želim ukazati na činjenicu da je Heartland nekoliko mjeseci prije incidenta certificiran kao sukladan sa zahtjevima PCI DSS standrada (to je bo slučaj i u prošlogodišnjem incidentu kod tvrtke Hannaford). Još jedna potvrda da biti sukladan ne znači i biti siguran.

Vjerujem da će ovaj incident (i slični koje sigurno možemo očekivati) pokrenuti neke promjene u primjeni PCI DSS standarda. Mora se posvetiti veća pažnja ne samo činjenici radi li se operativan nadzor sigurnosti informacijskog sustava, nego i kako se taj nadzor provodi. PCI DSS certifikacija je samo snimak stanja u određenom trenutku (onda kada QSA boravi u tvrtki). Logovi, sistemski događaji, konfiguracijski podaci, ranjivosti - to moraju biti glavni, ali ne i jedini, indikatori kvalitetete sigurnosnih mjera.

Podsjetio bih da je incident iz 2005. kod tvrtke CardSytem Solutions (također, procesor kartičnih transakcija) rezultirao, pored krađe 40 milijuna podataka, i prestankom rada ove tvrtke. Očekuje li ista sudbina i Heartland?

18.1.09

Tek dva od tri računala otporna na Downadup

Downoadup/Conficker, o kojemu je izvjestio čak i CNN, me je podsjetio na dobra stara vremena kada su se maliciozni programi nazivali virusima. Postoje dvije poveznice između ovog programa i virusa iz davnih vremena.

Prvo, Downadup/Conficker se manifestira na bučan i masovan način (koji su moderni maliciozni programi gotovo napustili). Prema nekim procjenama, do današnjeg dana je zahvatio oko 9 milijuna računala (preko 6 milijuna novozaraženih računala u zadnjih nekoliko dana, a broj će se svakako povećati već sutra). Kao da su autori ovog programa bili motivirani i retro porivom za pet minuta slave, što su uz ovakvu dinamiku širenja i postigli.

Drugo, Downadup/Conficker iskorištava jednu ranjivost u Windows operativnom sustavu koja je poznata već dulje vrijeme (od listopada 2008.) i za koju postoji popravak (patch) ali koji, iz nekog razloga, na mnogim računalima nije primjenjen. Ovaj moment se ponavlja iz godine u godinu. Ako računalne ranjivosti baš i moramo silom prilika prihvatiti kao nužnost današnje softverske industrije, korisnici i dalje pokazuju jako malo volje da svojim ponašanjem ublaže negativne učinke takve realnosti. Ponovo moramo naglasiti potrebu za dosljednim upravljanjem računalnim ranjivostima.

Jedan detalj me dodatno iznenadio. Tvrtka Qualys je objavila u 2003. jedno istraživanje (“The Law of Vulnerabilities”) prema kojemu se u roku od 30 dana od dana objave programskog popravka, tek na 50% računala ovaj popravak zaista i primjeni. Ako pogledamo i slijedećih 30 dana, na kraju tog razdoblja popravak nedostaje na oko 30% računala. Kako se čini, Downadup/Conficker je potvrdio ovu zakonitost. Naime, tvrtka Qualys provodi provjeru ranjivosti na temelju SaaS servisu, pa redovito vodi statističke analize o zastupljenosti pojedinih računalnih ranjivosti u poslovnom okruženju koje SaaS servis QualysGuard poslužuje. Ova je analiza pokazala da početkom siječnja (dakle, dva mjeseca od pojave popravka MS08-067 koji spriječava pojavu programa Downadup/Conficker) tek dva od tri računala sadrži spomenuti popravak. Ovi podaci su još ozbiljniji ako uzmemo u obzir da Qualys-ove analize obuhvaćaju korisnike njihovih SaaS usluga, a to su prije svega korporativni korisnici (tek u malom postotku su obuhvaćeni kućni korisnici). Dodatno nas mora zabrinuti činjenica da se pristup nije promjenio od 2003. godine.

Dobra vijest je da Downadup/Conficker, iako napisan izuzetno inovativno i temeljito, kako se čini ne sadrži osobito maliciozan učinak (barem ne verzija koja je poznata u trenutku pisanja ovog teksta). No, kad uzmete u obzir da je značajka modernog malicioznog koda ipak znatno veća opskurnost i tišina djelovanja te veća doza nedobronamjernosti, mislim da je potrebno još jednom ponoviti staru lekciju o održavanju dobrog stanja računalnih sustava.