18.8.09

Slučajevi Heartland i Hannaford, nastavak

Slučajevi Heartaland i Hannaford o kojema sam pisao na ovim stranicama, dobili su sudski nastavak, Jučer je objavljena vijest o podizanju optužnice protiv američkog državljanina Alberta Gozalesa. Gonzalesa se ovom prilikom sumnjiči da je jedan od hackera koji je upao u poslovni sustav tvrtki Heratland i Hannaford (ali i nekih drugih). Kažem ovom prilikom zato jer Gonzales već čeka suđenje za druge nedavne slučajeve krađe podataka - TJX, OfficeMax, Barnes & Noble... Gonzalesa se, po zadnjoj optužnici, tereti za krađu podataka o ukupno 130 milijuna kreditnih i debitnih kartica. Osim Gonzalesa, optužene su i dvije nepoznate osobe, po svemu sudeći iz Rusije, no pitanje je jesu li oni i jedini izvršitelji.

Ima i drugih zanimljivih detalja o optuženima (npr. Gonzales je bio dugogodišnji pouzdanik američke tajne službe), no mi ćemo analizirati način na koji je izvršena krađa.

Gonzales i društvo su brižljivo birali žrtve, krenuli su od popisa Fortune 500 tvrtki. Žrtve su, potom, proučili izbliza - obišli su njihove dućane kako bi upoznali opremu za procesiranje transakcija, detaljno su proanalizirali sustave za procesiranje plaćanja Internetom. Nije nemoguću da su se koristili i drugim metodama (socijalni inžinjering) kako bi se domogli vrijednih informacija o žrtvama.

Gonzales je potom pisao maliciozne programe posebno dizajnirane za računala žrtava. Cilj ovih programa bio je omogućiti neometan pristup Gonzalesa i društva računalima žrtava. Ovo su bili tzv. backdoor programi. Kako su uspjeli ove programe instalirati na računala žrtava? To iz dostupne dokumentacije nije sasvim razjašnjeno, no postoji nekoliko metoda, od zloupotrebe nezaštićene wireless mreže (što se i dogodilo u TJX), zloupotrebom SQL Injection nedostataka ili navođenja zaposlenika tvrtke na izvođenje malicioznog koda koji bi bio smješten na pripremljenim serverima (ne treba zanemariti ni tehnike socijalnog inžinjeringa). Vrlo je moguće da su napadači kombinirali različite tehnike, prilagođavali su okolnostima i profilu žrtvi. U svakom slučaju, puno je teži zadatak bio spriječiti otkrivanje malicoznih programa kada jednom budu smješteni na interni dio mreže. Za to se pobrinuo Gonzales: brižljivo je dizajnirao i testirao maliciozne programe, tako da ih nije bilo moguće otkriti sa 20 različitih antivirusnih programa (zasigurno se radi o svim najznačajnijim antivirusnim programima dostupnim na tržištu). U tom trenutku su napadači stekli prilično komfornu poziciju: mogli su neometano pristupati internoj mreži i pregledavati sve interesantne točke. Naravno, to je bila odskočnica za pristup do samih podataka koje su po istom kanalu slali nazad na vlastite servere. Način pristupa do podataka razlikovao se od slučaja do slučaja: kod jedne od žrtvi su naprosto snifali promet na mreži i otkrivali nekriptirane brojeve kartica, kod drugih su pristupali bazi podataka (po svemu sudeću SQL Injection napadima koji mogu biti i veoma sofisticirani)...

Sve što se desilo nakon toga, saznati ćete iz medija.

Iz ovih slučajeva mogu se naučiti mnoge stvari, npr:
  • Zaštitne mjere koje se baziraju samo na firewallu i antivirusnim programima su nedovoljne. Pisao sam već o tome kako antivirusni programi ne jamče otkrivanje svih malicioznih programa (u međuvremenu su se pojavili i drugi izvještaji koji potvrđuju ovo mišljenje).
  • Kada se jednom vanjski napadač smjesti na internoj mreži, njegova aktivnost može biti gotovo nezamjetna, a za samog napadača izuzetno sadržajna i plodonosna. Uzorak ponašanja vanjskih napadača se približio uzorku ponašanja internih napadača.
  • Interne ranjivosti postaju jednako kritične kao ranjivosti perimetarskih servera. Administratori sustava ne bi smjeli imati puno kredita za površnu konfiguraciju ili zakašnjelo patchiranje internih sustava.
  • Ranjivosti radnih stanica se često smatraju manje prioritetnima od ranjivosti servera. To definitivno više nije tako. Upravo radne stanice mogu biti najbolja poluga vanjskim napadačima.
  • Stalni nadzor događanja i prometa na mreži postaje neophodan. Takav nadzor pruža dodatno jamstvo u situaciji kada se više ne može bezgranično vjerovati firewall-ima i antivirusnoj zaštiti.