Slučajevi Heartland i Hannaford, nastavak

Slučajevi Heartaland i Hannaford o kojema sam pisao na ovim stranicama, dobili su sudski nastavak, Jučer je objavljena vijest o podizanju optužnice protiv američkog državljanina Alberta Gozalesa. Gonzalesa se ovom prilikom sumnjiči da je jedan od hackera koji je upao u poslovni sustav tvrtki Heratland i Hannaford (ali i nekih drugih). Kažem ovom prilikom zato jer Gonzales već čeka suđenje za druge nedavne slučajeve krađe podataka - TJX, OfficeMax, Barnes & Noble... Gonzalesa se, po zadnjoj optužnici, tereti za krađu podataka o ukupno 130 milijuna kreditnih i debitnih kartica. Osim Gonzalesa, optužene su i dvije nepoznate osobe, po svemu sudeći iz Rusije, no pitanje je jesu li oni i jedini izvršitelji.

Ima i drugih zanimljivih detalja o optuženima (npr. Gonzales je bio dugogodišnji pouzdanik američke tajne službe), no mi ćemo analizirati način na koji je izvršena krađa.

Gonzales i društvo su brižljivo birali žrtve, krenuli su od popisa Fortune 500 tvrtki. Žrtve su, potom, proučili izbliza - obišli su njihove dućane kako bi upoznali opremu za procesiranje transakcija, detaljno su proanalizirali sustave za procesiranje plaćanja Internetom. Nije nemoguću da su se koristili i drugim metodama (socijalni inžinjering) kako bi se domogli vrijednih informacija o žrtvama.

Gonzales je potom pisao maliciozne programe posebno dizajnirane za računala žrtava. Cilj ovih programa bio je omogućiti neometan pristup Gonzalesa i društva računalima žrtava. Ovo su bili tzv. backdoor programi. Kako su uspjeli ove programe instalirati na računala žrtava? To iz dostupne dokumentacije nije sasvim razjašnjeno, no postoji nekoliko metoda, od zloupotrebe nezaštićene wireless mreže (što se i dogodilo u TJX), zloupotrebom SQL Injection nedostataka ili navođenja zaposlenika tvrtke na izvođenje malicioznog koda koji bi bio smješten na pripremljenim serverima (ne treba zanemariti ni tehnike socijalnog inžinjeringa). Vrlo je moguće da su napadači kombinirali različite tehnike, prilagođavali su okolnostima i profilu žrtvi. U svakom slučaju, puno je teži zadatak bio spriječiti otkrivanje malicoznih programa kada jednom budu smješteni na interni dio mreže. Za to se pobrinuo Gonzales: brižljivo je dizajnirao i testirao maliciozne programe, tako da ih nije bilo moguće otkriti sa 20 različitih antivirusnih programa (zasigurno se radi o svim najznačajnijim antivirusnim programima dostupnim na tržištu). U tom trenutku su napadači stekli prilično komfornu poziciju: mogli su neometano pristupati internoj mreži i pregledavati sve interesantne točke. Naravno, to je bila odskočnica za pristup do samih podataka koje su po istom kanalu slali nazad na vlastite servere. Način pristupa do podataka razlikovao se od slučaja do slučaja: kod jedne od žrtvi su naprosto snifali promet na mreži i otkrivali nekriptirane brojeve kartica, kod drugih su pristupali bazi podataka (po svemu sudeću SQL Injection napadima koji mogu biti i veoma sofisticirani)...

Sve što se desilo nakon toga, saznati ćete iz medija.

Iz ovih slučajeva mogu se naučiti mnoge stvari, npr:

• Zaštitne mjere koje se baziraju samo na firewallu i antivirusnim programima su nedovoljne. Pisao sam već o tome kako antivirusni programi ne jamče otkrivanje svih malicioznih programa (u međuvremenu su se pojavili i drugi izvještaji koji potvrđuju ovo mišljenje).
• Kada se jednom vanjski napadač smjesti na internoj mreži, njegova aktivnost može biti gotovo nezamjetna, a za samog napadača izuzetno sadržajna i plodonosna. Uzorak ponašanja vanjskih napadača se približio uzorku ponašanja internih napadača.
• Interne ranjivosti postaju jednako kritične kao ranjivosti perimetarskih servera. Administratori sustava ne bi smjeli imati puno kredita za površnu konfiguraciju ili zakašnjelo patchiranje internih sustava.
• Ranjivosti radnih stanica se često smatraju manje prioritetnima od ranjivosti servera. To definitivno više nije tako. Upravo radne stanice mogu biti najbolja poluga vanjskim napadačima.
• Stalni nadzor događanja i prometa na mreži postaje neophodan. Takav nadzor pruža dodatno jamstvo u situaciji kada se više ne može bezgranično vjerovati firewall-ima i antivirusnoj zaštiti.

Heartland: najveća krađa podataka do sada?

Siječanj je, izgleda, rezerviran za rekorde u računalnom kriminalu. Ove godine imamo Heartland Payment System, šestog po veličini američkog procesora kartičnih transakcija. Konačni izvještaji nisu još dostupni, no pretpostavlja se da je incident otkriven krajem 2008. opsegom premašio krađu podataka u TJX-u iz 2007. Nije još poznat ni karakter ukradenih podataka (Heartland, naravno, nastoji ublažiti javni efekt), kao ni tehnika izvedbe. Ipak, pretpostavlja se da je maliciozni program, smješten u kritičnom dijelu sustava, bilježio obrađivane transkacije (Heartland obrađuje oko 100 milijuna transakcija mjesečno). Treba reći da je Heartland obrađivao transkacije koje su realizirane u nizu manjih dućana i restorana širom Sjedinjenih država (Internet transkacije jedva da su i bile zastupljene)

Na tehničke okolnosti ću se vratiti kada budu poznati rezultati istrage, no želim ukazati na činjenicu da je Heartland nekoliko mjeseci prije incidenta certificiran kao sukladan sa zahtjevima PCI DSS standrada (to je bo slučaj i u prošlogodišnjem incidentu kod tvrtke Hannaford). Još jedna potvrda da biti sukladan ne znači i biti siguran.

Vjerujem da će ovaj incident (i slični koje sigurno možemo očekivati) pokrenuti neke promjene u primjeni PCI DSS standarda. Mora se posvetiti veća pažnja ne samo činjenici radi li se operativan nadzor sigurnosti informacijskog sustava, nego i kako se taj nadzor provodi. PCI DSS certifikacija je samo snimak stanja u određenom trenutku (onda kada QSA boravi u tvrtki). Logovi, sistemski događaji, konfiguracijski podaci, ranjivosti - to moraju biti glavni, ali ne i jedini, indikatori kvalitetete sigurnosnih mjera.

Podsjetio bih da je incident iz 2005. kod tvrtke CardSytem Solutions (također, procesor kartičnih transakcija) rezultirao, pored krađe 40 milijuna podataka, i prestankom rada ove tvrtke. Očekuje li ista sudbina i Heartland?

Još jedan slučaj krađe podataka

Prije desetak dana se pojavio još jedan slučaj krađe podataka o kreditnim karticama. Hannaford Bros. - američki maloprodajni lanac s gotovo 300 dućana - obavijestio je o gubitku (krađi) preko 4 milijuna brojeva keditnih kartica. Vijest zapravo i nije vijest. Trgovački lanac TJX je početkom 2007. izgubio podatke o 45 milijuna kartica, a krađe povjerljivih podataka s notebooka i arhivskih traka postale su uobičajene. No, razlog zbog kojeg skrećem pažnju na slučaj Hannaford je činjenica da je tvrtka Hannaford Bros. imala certifikat o sukladnosti s Payment Card Industry Data Security Standard (PCI DSS) i to za 2007. i 2008. godinu.

Kako se, onda, mogao dogoditi incident ovih razmjera? Odnosno, pitanje se može postaviti i na slijedeći način: kako je Hannaford mogao dobiti certifikat o sukladnosti? Pokušat ću odgovoriti na drugo pitanje.

Prvo, činjenica da je neki sustav dobio potvrdu o sukladnosti s određenim pravilima ne znači da će se ta pravila poštovati ni 24 sata od davanja potvrde. To vrijedi za sve složene tehnološke sustave, ne samo informatičke. To vrijedi i za vaš osobni auto: prolazak na tehničkom pregledu nije jamstvo o njegovom besprijekornom funkcioniranju. No, certifikat u svakom slučaju doprinosti uvjerenju da je mogućnost ispada sustava dovoljno (prihvatljivo) niska. Ovo razmatranje osobito vrijedi za informacijsku sigurnost. Informacijska je sigurnost složen tehnološki sustav u kojemu je faktor utjecaja netehnoloških elemenata (čitaj: ljudski faktor) izuzetno visok. Tržišni certifikati (kao što je PCI DSS), norme (ISO 27001), formalne provjere (revizije) i neformalne provjere (penetracijski testovi) provjeravaju djelovanje ljudskog faktora u većem ili (češće) manjem dometu, no potvrda o prihvatljivom djelovanju ljudskog faktora vremenski je ograničena na razdoblje trajanja postupka provjere. Sve ostalo je samo određena mogućnost da će potvrda biti valjana i nakon odlaska revizora. Stoga, revizija i službeni certifikati koji proizlaze iz revizije trebaju biti upotpunjeni s kontinuiranim praćenjem rada sustava. Jednokratna se provjera mora transformirati u kontinuirani proces.

Drugi problem nastaje iz formalnog statusa same revizije. Iako je postupak donošenja PCI DSS certifikacije detaljno definiran te postoje strogi kriteriji koje moraju ispunjavati ovlašteni revizori, pojavili su se komentari (i prije slučaja koji ovdje opisujemo) o različitim naporima i različitim razinama striktnosti koje PCI revizori zahtjevaju. Tu se pojavljuje i problem sukoba interesa u kojem se često mogu naći revizori (sjetimo se Enrona, no u drugim poslovnom kontekstu i drugom okruženju). Također, treba uzeti u obzir da svaka revizija u kojemu klijent plaća troškove revizije (a ne tijelo koje reviziju zahtjeva) u sebi sadrži rizike nadekvatne provjere (jer, klijent ima pravo tražiti najjeftiniju reviziju).

Iako često na ovim stranicama pišem o regulaciji informacijske sigurnosti, smatram da formalna certifikacija, bez jasno definiranih i detaljno dorađenih pravila igre, može napraviti lošu uslugu informacijskoj sigurnosti.

Za kraj, vraćam se samom slučaju Hannaford. Rezultati istrage još nisu objavljeni, no pojavile su se procjene da je događaj o kojemu ovdje govorim bio moguć ponajprije djelovanjem "insidera".