Nakon poznatih događaja s bivšim glavnim direktorom, Međunarodni monetarni fond je upao u nove probleme. Prije nekoliko dana je objavljeno da su postali žrtvom sofisticiranog i po svemu sudeći ozbiljnog cyber napada. Napad nema veze s bivšim direktorom, a tek će se vidjeti (možda) je li ima veze s krađom podataka u tvrtki RSA. Naravno, predstavnici MMF-a su opovrgli ovu teoriju, no znakovito je da su prije tjedan dan najavili svojim zaposlenicima da mijenjaju postojeće SecurID tokene (ovdje treba spomenuti da je tvrtka RSA nedavno savjetovala svojim korisnicima da zamjene ili opozovu svoje SecurID tokene, a što je, izgleda, jedini dobar odgovor na nedavnu krađu protokola ovih autentikacijskih uređaja).
Ipak, veza sa kompromitacijom SecurID tokena je za sada samo u domeni pretpostavki. O napadu na MMF je za sada procurilo jako malo informacija. Kako se čini, MMF je bio žrtva ciljanog phishing napada ("spear-phishing"). Netko od njegovih zaposlenika bio je prevarom naveden na spuštanje posebno iskrojenog malicioznog programa koji je neokrznut prošao pored antivirusnih sustava. Izgleda da je napad bio izuzetno uspješan i da je barem jedno osobno računalo bilo kompromitirano dulje vrijeme (neki tvrde i nekoliko mjeseci). Napadači su za to vrijeme bili u prilici spustiti mnoštvo povjerljivih i veoma osjetljivih informacija i statističkih podataka o državama članicama MMF-a. MMF, naravno, nije objavio ni slova o prirodi ukradenih podataka.
Napad na MMF je prvi javno dostupan primjer da se interes dobro motiviranih napadača, najčešće državno sponzoriranih (ipak, tvrdnju da Kina stoji iza napada na MMF treba za sada uzeti s rezervom), pomiče s high-tech tvrtki i vojne industrije na financijsko tržište, pri čemu se cilja ne na osobne podatke i kreditne kartice, nego na značajne poslovne informacije.
Područje koje se do sada vezivalo za insiderske napade postaje dostupno i vanjskim prijetnjama.
15.6.11
7.6.11
Dva teksta
28.5.11
Preko RSA do zvijezda!
Za ovaj napis sam namjeravao izabrati jednu zanimljivu temu koja bi nadoknadila moju inertnost u objavi tekstova u prvih nekoliko mjeseci. Tema je morala na određeni način ilustrirati zbivanja u informacijskoj sigurnosti tijekom ovog razdoblja. Izbor je pao na slučaj kompromitacije američke tvrtke RSA, odnosno na krađu znanja i povjerljivih informacija o funkcioniranju sustava SecurID. Za neupućene, SecurID je tehnologiji koja omogućuje autentikaciju korisnika informacijskih servisa jednokratnim lozinkama koje se generiraju namjenskim uređajima - "tokenima" (veliki broj naših korisnika Internet bankarstva koristi sličnu tehnologiju prilikom prijave na web servere svojih banaka).
Naime, u ožujku ove godine nepoznati napadači (za koje se pretpostavlja da dolaze iz Kine) proveli su sofisticirani Advanced PersistentThreat (APT) kojima se prije puno mjeseci ciljalo na Google i druge značajne američke tvrtke. Napadaći na tvrtku RSA, kako se tvrdi, došli su do povjerljivih podataka tvrtke, uključujući i značajne informacije o funkcioniranju SecurID tehnologije. RSA je, naravno, pokušao umanjiti procjene o nastaloj šteti.
No, prigodno za ovaj tekst kojim želim potvrditi kontinuitet ovog bloga, napad iz ožujka nepsoredno se veže za friške slučajeve iz svibnja.
Prije nego što nastavim priču, vrijedi pogledati kako je tekao napad na RSA.
Napadači su u prvoj fazi napada identificirali neke zaposlenike tvrtke RSA i prema njima usmjerili mail poruke s posebno konstruiranom xls tablicom. Ova tablica je sadržavala unikatni maliciozni kod koji je iskorištavao zero-day ranjivost u programu Adobe Flash (Adobe je tek kasnije objavio popravak za ovu ranjivost). Uspješnom realizacijom prve faze napada, napadači su ovladali napadnutim računalima, instalirali program za udaljenu administraciju te nastavili temeljito pročešljavati dostupna računala. Ciljali su na ponajprije na podatke o korisničkim računima koji bi im omogućili daljnju propagaciju mrežom tvrtke RSA. I ta faza je bila uspješna pa je napad uspješno, sa stajališta napadača, završio prebacivanjem velikih broja datoteka na udaljene servere FTP protokolom.
RSA je priznao da napad može kompromitirati uspješnost SecurID tokena i dao je preporuke svojim korisnicima o dodatnim sigurnosnim mjerama koje preporučuje u ovoj situaciji. Radilo se uglavnom o standardnim proceduralnim preporukama koje se primjenjuju u kontroli pristupa.
Sada se vraćamo u svibanj.
Cijeli bi slučaj RSA možda i pao u zaborav no upravo je objavljena vijest da je došlo do napada na tvrtku Lockheed Martin, jednog od vodećih imena američke vojne industrije. Smatra se da su napadači kompromitirali VPN pristup mreži ove tvrtke na kojem se udaljeni korisniciautenticiraju SecurID tehnologijom. Pogađate, ovaj je napad neposredno omogućen znanjem o funkcioniranju SecurID tehnologije do kojeg su napadači (ili njihove kolege) došli u svibnju.
Kada je ovaj tekst bio pred završetkom, saznalo se da su i druga dva velika proizvođača iz segmenta vojne industrije također napadnuta na sličan način: L-3 Communications i Northrop Grumman. Prema nekim izjavama koje su procurile iz ovih tvrtki, napadi i neposredna reakcija na nakon detekcije napada uzrokovala je izvanredno stanje u ovim tvrtkama.
Za sada nije objavljeno na koji je način kompomitirana SecurID tehnologija (osim što je izvjesno da su neposredno napadnuti sustavi za udaljeni pristup mrežama ovih vodećih imena američke vojne industrije), niti je objavljeno kakve su posljedice ovih napada.
Osim što je bio sjajna ilustracija APT prijetnji, napad na RSA je značajan zbog činjenice da je ovim napadom pribavljeno značajno znanje o funkcioniranju do tada, smatralo se, sigurne tehnologije, što je jamčilo uspjeh kod teških ciljeva koji obično takvu tehnologiju koriste.
U svijetu je 40 milijuna korisnika SecurID tehnologije. Jesu li velika imena vojne industrije jedine žrtve?
Naime, u ožujku ove godine nepoznati napadači (za koje se pretpostavlja da dolaze iz Kine) proveli su sofisticirani Advanced PersistentThreat (APT) kojima se prije puno mjeseci ciljalo na Google i druge značajne američke tvrtke. Napadaći na tvrtku RSA, kako se tvrdi, došli su do povjerljivih podataka tvrtke, uključujući i značajne informacije o funkcioniranju SecurID tehnologije. RSA je, naravno, pokušao umanjiti procjene o nastaloj šteti.
No, prigodno za ovaj tekst kojim želim potvrditi kontinuitet ovog bloga, napad iz ožujka nepsoredno se veže za friške slučajeve iz svibnja.
Prije nego što nastavim priču, vrijedi pogledati kako je tekao napad na RSA.
Napadači su u prvoj fazi napada identificirali neke zaposlenike tvrtke RSA i prema njima usmjerili mail poruke s posebno konstruiranom xls tablicom. Ova tablica je sadržavala unikatni maliciozni kod koji je iskorištavao zero-day ranjivost u programu Adobe Flash (Adobe je tek kasnije objavio popravak za ovu ranjivost). Uspješnom realizacijom prve faze napada, napadači su ovladali napadnutim računalima, instalirali program za udaljenu administraciju te nastavili temeljito pročešljavati dostupna računala. Ciljali su na ponajprije na podatke o korisničkim računima koji bi im omogućili daljnju propagaciju mrežom tvrtke RSA. I ta faza je bila uspješna pa je napad uspješno, sa stajališta napadača, završio prebacivanjem velikih broja datoteka na udaljene servere FTP protokolom.
RSA je priznao da napad može kompromitirati uspješnost SecurID tokena i dao je preporuke svojim korisnicima o dodatnim sigurnosnim mjerama koje preporučuje u ovoj situaciji. Radilo se uglavnom o standardnim proceduralnim preporukama koje se primjenjuju u kontroli pristupa.
Sada se vraćamo u svibanj.
Cijeli bi slučaj RSA možda i pao u zaborav no upravo je objavljena vijest da je došlo do napada na tvrtku Lockheed Martin, jednog od vodećih imena američke vojne industrije. Smatra se da su napadači kompromitirali VPN pristup mreži ove tvrtke na kojem se udaljeni korisniciautenticiraju SecurID tehnologijom. Pogađate, ovaj je napad neposredno omogućen znanjem o funkcioniranju SecurID tehnologije do kojeg su napadači (ili njihove kolege) došli u svibnju.
Kada je ovaj tekst bio pred završetkom, saznalo se da su i druga dva velika proizvođača iz segmenta vojne industrije također napadnuta na sličan način: L-3 Communications i Northrop Grumman. Prema nekim izjavama koje su procurile iz ovih tvrtki, napadi i neposredna reakcija na nakon detekcije napada uzrokovala je izvanredno stanje u ovim tvrtkama.
Za sada nije objavljeno na koji je način kompomitirana SecurID tehnologija (osim što je izvjesno da su neposredno napadnuti sustavi za udaljeni pristup mrežama ovih vodećih imena američke vojne industrije), niti je objavljeno kakve su posljedice ovih napada.
Osim što je bio sjajna ilustracija APT prijetnji, napad na RSA je značajan zbog činjenice da je ovim napadom pribavljeno značajno znanje o funkcioniranju do tada, smatralo se, sigurne tehnologije, što je jamčilo uspjeh kod teških ciljeva koji obično takvu tehnologiju koriste.
U svijetu je 40 milijuna korisnika SecurID tehnologije. Jesu li velika imena vojne industrije jedine žrtve?
8.1.11
Spavači
Današnji Jutarnji list donosi članak "Za tržišni uspjeh sve je potrebniji privatni detektiv" koji govori o razvoju industrijske špijunaže u Hrvatskoj (usput, u članku se ova aktivnost zove "Business Intelligence" što u informatičkom žargonu znači nešto sasvim drugo). Članak donosi razgovor s vlasnikom zagrebačke detektivske agencije koji govori da sve više poslovnih ljudi traži usluge prikupljanja podataka o konkurentskim tvrtkama. Detektivi ove tvrtke, između ostalog, pronalaze "spavače" među zaposlenicima istraživanih tvrtki koji odaju poslovne tajne konkurenciji. Saznali smo da nemali broj stranih tvrtki traži usluge ove agencije. Također, saznali smo da je prošla godina zabilježila porast zahtjeva za ovim uslugama.
Optimisti će reći da je ovo dobra vijest za ekonomiju u cjelini. Do sada je najveća zaštita od insiderskih prijetnji bila činjenica da naše tvrtke nemaju ništa ponuditi konkurenciji, a, kako sada izgleda, stvari se mijenjaju i konkurentnost naših tvrtki se pojačava. Realisti će, pak, reći da se ipak, možda, radi o banalnijim informacijama koje imaju značaja za konkurenciju, npr. o popisu kupaca ili o cijenama s kojima se izlazi na javni natječaj. Treba također znati da ova djelatnost može uključivati i prikupljanje osobnih podataka, npr. stanja računa ili troškove na karticama partnera u slučaju brakorazvodnih parnica ili pak provjere potencijalnih zaposlenika.
No, ne ulazeći u motivaciju iza indistrijske špijunaže, smatram da članak može poslužiti kao odličan materijal praktičarima procjene informacijskih rizika. Naime, opasnost od insidera u našim tvrtkama se u pravilu podcjenjivala jer, kao, insideri nemaju toliko motiva za svoj rad, najviše što ih zanima su plaće svojih kolega ili računi poznatih klijenata, a to se može lako zaštiti i kontrolirati. Članak nam pokazuje da je aktivno regrutiranja spavača koji inače to ne bi nikad postali naša stvarnost, a jasno je da postoji i mehanizam učinkovite motivacije insidera/spavača.
Naravno, treba biti jasno da današnja industrijska špijunaža prije svega cilja na podatke u digitalnom obliku, na baze podatka, na dokumente smještene na serverima. Ono što je za teoretičare tek istraživanje konkurentskih prednosti, za žrtve to može biti računalni kriminal ili barem opipljiv razloga za otkaz, u svakom slučaju značajna poslovna šteta. Za ljude iz informatičke sigurnosti je ovo svakako znak da moraju dodatno otvoriti oči.Ako vrijedne informacije nisu insiderima odmah dostupne, postoje brojne tehnike kako se može doći do ovih informacija. Ove tehnike ne moraju biti velika mudrost i vanjski "motivatori" će spavače lako obučiti (to se obično naziva "low-tech hacking").
Ovdje prestaje svaka sličnost s WikiLeaksom - ako vam je tako nešto i palo napamet čitajući ovo. Industrijska špijunaža svoje informacije ne pušta na Mrežu, a, za razliku od američke vlade, žrtve indistrijske špijunaže možda nikad neće saznati da su ikada postali žrtve.
Optimisti će reći da je ovo dobra vijest za ekonomiju u cjelini. Do sada je najveća zaštita od insiderskih prijetnji bila činjenica da naše tvrtke nemaju ništa ponuditi konkurenciji, a, kako sada izgleda, stvari se mijenjaju i konkurentnost naših tvrtki se pojačava. Realisti će, pak, reći da se ipak, možda, radi o banalnijim informacijama koje imaju značaja za konkurenciju, npr. o popisu kupaca ili o cijenama s kojima se izlazi na javni natječaj. Treba također znati da ova djelatnost može uključivati i prikupljanje osobnih podataka, npr. stanja računa ili troškove na karticama partnera u slučaju brakorazvodnih parnica ili pak provjere potencijalnih zaposlenika.
No, ne ulazeći u motivaciju iza indistrijske špijunaže, smatram da članak može poslužiti kao odličan materijal praktičarima procjene informacijskih rizika. Naime, opasnost od insidera u našim tvrtkama se u pravilu podcjenjivala jer, kao, insideri nemaju toliko motiva za svoj rad, najviše što ih zanima su plaće svojih kolega ili računi poznatih klijenata, a to se može lako zaštiti i kontrolirati. Članak nam pokazuje da je aktivno regrutiranja spavača koji inače to ne bi nikad postali naša stvarnost, a jasno je da postoji i mehanizam učinkovite motivacije insidera/spavača.
Naravno, treba biti jasno da današnja industrijska špijunaža prije svega cilja na podatke u digitalnom obliku, na baze podatka, na dokumente smještene na serverima. Ono što je za teoretičare tek istraživanje konkurentskih prednosti, za žrtve to može biti računalni kriminal ili barem opipljiv razloga za otkaz, u svakom slučaju značajna poslovna šteta. Za ljude iz informatičke sigurnosti je ovo svakako znak da moraju dodatno otvoriti oči.Ako vrijedne informacije nisu insiderima odmah dostupne, postoje brojne tehnike kako se može doći do ovih informacija. Ove tehnike ne moraju biti velika mudrost i vanjski "motivatori" će spavače lako obučiti (to se obično naziva "low-tech hacking").
Ovdje prestaje svaka sličnost s WikiLeaksom - ako vam je tako nešto i palo napamet čitajući ovo. Industrijska špijunaža svoje informacije ne pušta na Mrežu, a, za razliku od američke vlade, žrtve indistrijske špijunaže možda nikad neće saznati da su ikada postali žrtve.
7.1.11
Zeus - bog računalnih prijevara
Pretplati se na:
Postovi (Atom)