Prošlo je jako puno vremena od zadnjeg teksta na ovom blogu, poslovne obaveze u protekloj godini su onemogućile moju intenzivniju prisutnost na ovim stranicama. Kroz svojevrsni pregled događaja iz 2014. ću pokušati nadoknaditi propušteno, uz obećanje da ću se u novoj godini na ovim stranicama pojavljivati češće i redovitije.
Što je obilježilo proteklu godinu?
Cyber napada i incidenata svakako nije nedostajalo. Analizu i prepričavanje događaja koji su prethodili, kao i onih koji su uslijedili nakon cyber incidenata smatram dobrom praksom. Organizacije/tvrtke koje imaju sreću i koje ove događaje mogu promatrati izvana, kroz analizu mogu puno toga naučiti te ojačati svoje sigurnosne mjere. Možete naći puno izvora s takvim detaljnim informacijama, a ja sam na ovim sam stranicama i do sada objavljivao sažetke i posebne poglede na takve događaja, što ću nastaviti i dalje.
Mnogi će 2014. pamtiti po medijski atraktivnim incidentima (objave golišavih celebrity fotografija ili napad na tvrtku Sony). Iako su posljedice ovih napada na granici trivijalnog, analiza njihovog uzroka pokazuje na značajne pukotine u, danas već uobičajeno korištenim, informatičkim resursima.
"Celebrity Photo Hack" je uzrokovan, kako javno dostupne informacije govore, kombinacijom uobičajene prakse izbora loše zaporke i manjkavosti iCloud servisa tvrtke Apple. Napadači su primjenom brute-force tehnika napada (i drugih informacija o žrtvama napada) uspjeli pogoditi zaporke celebrity računa i pristupiti sadržaju pohranjenom na iCloud servisu. Napad je olakšao iCloud servis s obzirom da nije imao mogućnost zaključavanja računa nakon nekoliko neuspješnih pokušaja. Apple je naknadno ugradio zaključavanje računa kod učestalih neuspješnih prijava, no nesmotrenost, a često i lijenost, korisnika kod izbora zaporke nije moguće izmijeniti programskim popravkom (uočite da je unatoč strahovitom tehnološkom napretku, dobra stara zaporka i dalje najkorištenije sredstvo zaštite korisničkog računa) . "Celebrity Photo Hack" nam govori da uobičajena korisnička nepažnja može biti naročito rizična kod cloud servisa, čak i u situacijama kada je ovaj servis pod kontrolom renomirane tvrtke kao što je Apple.
"Sony Picture Hack" ima malo toga zajedničkog s prethodnim primjerom - tek činjenicu da su posljedice ovog incidenta također dijelom raspoređene unutar istog društvenog/poslovnog okruženja. Ovoj je krađi podataka ipak prethodila temeljita priprema. Za sada nema nedvojbene potvrde tko stoji iza napada - Sjevrena Koreja, hacktivistička grupa, nedavno otpuštena zaposlenica (za svakog od njih postoje značajni indikatori) ili pak kombinacija svega po malo. Napadači su izvukli ogromnu količinu podataka - od poslovnih tajni, internih tračeva, neobjavljenih filmova koji su očekivali premijeru pa do zaporki i privatnih ključeva. Osobito je zanimljivo da je maliciozni program iskorišten za žetvu ovih informacija bio potpisan sa ukradenim digitalnim certifikatom samog Sony Picturea. Pretpostavlja se da su napadači bili mjesecima prisutni u njihovom sustavu, uz prilično nesputane mogućnosti pretraživanja i prikupljanja podataka.
Napad na Sony Picture je stekao značajnu reputaciju uvođenjem u priču Sjeverne Koreje i koincidencijom sa skorom premijerom navodno osrednjeg filma The Interview. No, čak ako se ovo i pokaže točnim, posljedice napada su dominantno izvan političkog konteksta tako da smatram realnim da su za napad odgovorne (i) druge osobe/organizacije.
Slučaj Sony Picture je možda izvrstan primjer APT napada (Advanced Persistent Threat), no ova kategorizacija bi mogla izostati ukoliko se pokaže da je ključnu ulogu odigrao bivši zaposlenik. Ipak, APT napada je u protekloj godini, kao i u nekoliko prethodnih, bilo dovoljno, a možemo sa sigurnošću reći da ćemo ih imati i u sljedećim.
Među najznačajnijim APT napadima su obično oni politički motivirani i sponzorirani. U 2014. godini su u javnosti objavljene o napadu Regin koji je poharao uglavnom telekom operatere u unutar EU ali i u drugim državama. U Europi je osobito pogođen belgijski operater Belgacom. Napad Regin je, po svemu sudeći, prisutan već nekoliko godina. Ima svojstva Trojanaca, a zbog svoje sofisticiranosti je neprimjetan i prilagodljiv okolini. Pravi razmjeri napada Regin tek se trebaju utvrditi, no s obzirom na tehnike prikrivanja ovog malicioznog koda potpuna eliminacija biti će krajnje otežana.
Naravno, nema potvrde o autorima ovog malicioznog koda no činjenica da je Edward Snowden svojedobno iznio informacije o sličnim napadima ukazuju na moguće porijeklo.
U ovom tekstu sam se zadržao na sigurnosnim incidentima koji su obilježili godinu, a u sljedećem nastavku bit će riječi o drugim događajima iz informacijske sigurnosti.
Nema komentara:
Objavi komentar