Insideri: T(r)ajna prijetnja vašim podacima

22.9.2011. sudjelovao sam na petoj konferenciji Sagena Security Day. Na konferenciji sam održao prezentaciju Insideri: T(r)ajna prijetnja vašim podacima. Prezentacija je ovih dana objavljena na stranici konferencije i možete je preuzeti u pdf formatu.

Prezentacija koju sam održao predstavlja sažetak preporuka koje savjetujem u postupku procjene rizika, a odnose se na specifičnu tematiku insidera. Naime, primijetio sam da se mnoge organizacije prioritetno bave događajima koje rezultiraju ugrožavanjem dostupnosti. To je lako objašnjivo: kvarovi opreme, te prekidi ili ispadi infrastrukture su bliži općoj percepciji i lakše ih je opisati. Insideri spadaju u domenu nepoznatoga i nedostaju instrumenti za njihovo dobro opisivanje i procjenu potencijala.

Prezentacija je trajala gotovo 60 minuta i priloženi tekst ne sadrži popratno tumačenje koje sam tom prilikom iznio. Ipak, vjerujem da će vam biti jasne glavne smjernice, a slobodno se javite za sva druga tumačenja.

Tržišni principi cyber-napada

Eskalacija sigurnosnih incidenata u svijetu zasigurno je razlog da i naši mediji posvećuju sve veću pažnju ovoj tematici. Tako smo u proteklih desetak dana mogli pročitati ili vidjeti priloge o cyber prijetnjama u Večernjem listu (subotnji dodatak Obzor od 11.6.2011. - link nije dostupan), u Vjesniku od 15.6.2011. i u jednom od prošlotjednih dnevnika HRT-a.

Autori su temi pristupili uz puni respekt prema ozbiljnosti ovih prijetnji i ukazujući na visoku izloženost modernog načina poslovanja cyber-napadima. Meni je osobito zanimljiv bio pokušaj određivanja uzroka eskalacije sigurnosnih incidenata.

Vjesnik, tako, citira jednog dužnosnika međunarodne organizacije koji, misleći na cyber-napadače, kaže da su "ti kriminalci od nas pametniji deset ili čak stotinu puta" čime ujedno opravdava znatno zaostajanje žrtava cyber-napada.

Bez imalo namjere za podcjenjivanjem cybernapadača (njihova "kreativna" jezgra zaista posjeduju zavidno znanje), smatram da na uzroke treba gledati iz suprotne vizure - iz vizure sustava (organizacija, tvrtki, institucija) čiji su sustavi izloženi bilo kakvom obliku cyber-prijetnji. Gledajući, dakle, iz pozicije organizacije koja mora graditi svoju obranu zaključujem da poslovni model koji stoji iza zaštitnih i proaktivnih procesa informacijske sigurnosti sadrži niz slabosti u odnosu na poslovni model koji stoji iza modela napadačke (kriminalne) informacijske sigurnosti (odnosno anti-sigurnosti). Glavna slabost se odnosi na nerazmjernu motivaciju osoba na suprotnim stranama.

Cyber napadači su izuzetno motivirani, s jakim financijskim temeljima i u pravilu s izraženim osobnim materijalnim koristima. Kada se to spoji s odgovarajućim vještinama, bojim se da za njih nema nedostižnih ciljeva.

S druge strane, u prosječno ili čak nadprosječno osvještenoj tvrtki ili organizaciji, ne postoji puna motiviranost upravljačkih struktura za davanje sigurnosnih inicijativa. Čak i ako postoji grupa kompetentnih pojedinaca na operativno/taktičkoj razini, vrlo je česta situacija da se njihov entuzijazam i agilnost tope u sudaru s činovničkim mentalitetom i pristupom. Možda ste se i vi sreli sa slučajevima da management daje potporu samo najnužnijim mjerama, propuštajući uzeti ozbiljno novonastupajuće prijetnje i propuštajući prepoznati sve moguće posljedice. Rezultat takve prakse je zaostajanje otpornosti na cyber-napade, naročito u elementima gdje dominira ljudski faktor.

Dakle s jedne strane imamo "cyber-underground" institucije koje dobro znaju što žele i kako će to postići, a s druge strane imamo organizacije koje su njihove predodređene žrtve. Možemo ići i korak dalje i reći da se uspješnost cyber-napadača temelji na principima tržišne ekonomije, a da se zaštitna informacijska sigurnost temelji na "dogovornoj" ekonomiji.

Novi problemi za MMF

Nakon poznatih događaja s bivšim glavnim direktorom, Međunarodni monetarni fond je upao u nove probleme. Prije nekoliko dana je objavljeno da su postali žrtvom sofisticiranog i po svemu sudeći ozbiljnog cyber napada. Napad nema veze s bivšim direktorom, a tek će se vidjeti (možda) je li ima veze s krađom podataka u tvrtki RSA. Naravno, predstavnici MMF-a su opovrgli ovu teoriju, no znakovito je da su prije tjedan dan najavili svojim zaposlenicima da mijenjaju postojeće SecurID tokene (ovdje treba spomenuti da je tvrtka RSA nedavno savjetovala svojim korisnicima da zamjene ili opozovu svoje SecurID tokene, a što je, izgleda, jedini dobar odgovor na nedavnu krađu protokola ovih autentikacijskih uređaja).

Ipak, veza sa kompromitacijom SecurID tokena je za sada samo u domeni pretpostavki. O napadu na MMF je za sada procurilo jako malo informacija. Kako se čini, MMF je bio žrtva ciljanog phishing napada ("spear-phishing"). Netko od njegovih zaposlenika bio je prevarom naveden na spuštanje posebno iskrojenog malicioznog programa koji je neokrznut prošao pored antivirusnih sustava. Izgleda da je napad bio izuzetno uspješan i da je barem jedno osobno računalo bilo kompromitirano dulje vrijeme (neki tvrde i nekoliko mjeseci). Napadači su za to vrijeme bili u prilici spustiti mnoštvo povjerljivih i veoma osjetljivih informacija i statističkih podataka o državama članicama MMF-a. MMF, naravno, nije objavio ni slova o prirodi ukradenih podataka.

Napad na MMF je prvi javno dostupan primjer da se interes dobro motiviranih napadača, najčešće državno sponzoriranih (ipak, tvrdnju da Kina stoji iza napada na MMF treba za sada uzeti s rezervom), pomiče s high-tech tvrtki i vojne industrije na financijsko tržište, pri čemu se cilja ne na osobne podatke i kreditne kartice, nego na značajne poslovne informacije.

Područje koje se do sada vezivalo za insiderske napade postaje dostupno i vanjskim prijetnjama.

Dva teksta

Unatrag godinu dana (i koj mjesec više) objavio sam dva teksta u časopisu Banka, o čemu sam vas i obavijestio na ovim stranicama. Evo, tek sada objavljujem pdf verzije ovih članaka.

Tekst "Što je privatno, a što javno" potražite na ovdje, a tekst "Zeus bog računalnih prijevara" ovdje.

Preko RSA do zvijezda!

Za ovaj napis sam namjeravao izabrati jednu zanimljivu temu koja bi nadoknadila moju inertnost u objavi tekstova u prvih nekoliko mjeseci. Tema je morala na određeni način ilustrirati zbivanja u informacijskoj sigurnosti tijekom ovog razdoblja. Izbor je pao na slučaj kompromitacije američke tvrtke RSA, odnosno na krađu znanja i povjerljivih informacija o funkcioniranju sustava SecurID. Za neupućene, SecurID je tehnologiji koja omogućuje autentikaciju korisnika informacijskih servisa jednokratnim lozinkama koje se generiraju namjenskim uređajima - "tokenima" (veliki broj naših korisnika Internet bankarstva koristi sličnu tehnologiju prilikom prijave na web servere svojih banaka).

Naime, u ožujku ove godine nepoznati napadači (za koje se pretpostavlja da dolaze iz Kine) proveli su sofisticirani Advanced PersistentThreat (APT) kojima se prije puno mjeseci ciljalo na Google i druge značajne američke tvrtke. Napadaći na tvrtku RSA, kako se tvrdi, došli su do povjerljivih podataka tvrtke, uključujući i značajne informacije o funkcioniranju SecurID tehnologije. RSA je, naravno, pokušao umanjiti procjene o nastaloj šteti.

No, prigodno za ovaj tekst kojim želim potvrditi kontinuitet ovog bloga, napad iz ožujka nepsoredno se veže za friške slučajeve iz svibnja.

Prije nego što nastavim priču, vrijedi pogledati kako je tekao napad na RSA.

Napadači su u prvoj fazi napada identificirali neke zaposlenike tvrtke RSA i prema njima usmjerili mail poruke s posebno konstruiranom xls tablicom. Ova tablica je sadržavala unikatni maliciozni kod koji je iskorištavao zero-day ranjivost u programu Adobe Flash (Adobe je tek kasnije objavio popravak za ovu ranjivost). Uspješnom realizacijom prve faze napada, napadači su ovladali napadnutim računalima, instalirali program za udaljenu administraciju te nastavili temeljito pročešljavati dostupna računala. Ciljali su na ponajprije na podatke o korisničkim računima koji bi im omogućili daljnju propagaciju mrežom tvrtke RSA. I ta faza je bila uspješna pa je napad uspješno, sa stajališta napadača, završio prebacivanjem velikih broja datoteka na udaljene servere FTP protokolom.

RSA je priznao da napad može kompromitirati uspješnost SecurID tokena i dao je preporuke svojim korisnicima o dodatnim sigurnosnim mjerama koje preporučuje u ovoj situaciji. Radilo se uglavnom o standardnim proceduralnim preporukama koje se primjenjuju u kontroli pristupa.

Sada se vraćamo u svibanj.

Cijeli bi slučaj RSA možda i pao u zaborav no upravo je objavljena vijest da je došlo do napada na tvrtku Lockheed Martin, jednog od vodećih imena američke vojne industrije. Smatra se da su napadači kompromitirali VPN pristup mreži ove tvrtke na kojem se udaljeni korisniciautenticiraju SecurID tehnologijom. Pogađate, ovaj je napad neposredno omogućen znanjem o funkcioniranju SecurID tehnologije do kojeg su napadači (ili njihove kolege) došli u svibnju.

Kada je ovaj tekst bio pred završetkom, saznalo se da su i druga dva velika proizvođača iz segmenta vojne industrije također napadnuta na sličan način: L-3 Communications i Northrop Grumman. Prema nekim izjavama koje su procurile iz ovih tvrtki, napadi i neposredna reakcija na nakon detekcije napada uzrokovala je izvanredno stanje u ovim tvrtkama.

Za sada nije objavljeno na koji je način kompomitirana SecurID tehnologija (osim što je izvjesno da su neposredno napadnuti sustavi za udaljeni pristup mrežama ovih vodećih imena američke vojne industrije), niti je objavljeno kakve su posljedice ovih napada.

Osim što je bio sjajna ilustracija APT prijetnji, napad na RSA je značajan zbog činjenice da je ovim napadom pribavljeno značajno znanje o funkcioniranju do tada, smatralo se, sigurne tehnologije, što je jamčilo uspjeh kod teških ciljeva koji obično takvu tehnologiju koriste.

U svijetu je 40 milijuna korisnika SecurID tehnologije. Jesu li velika imena vojne industrije jedine žrtve?