Polityka bezpieczeństwa a ataki ukierunkowane na sieci firmowe
2013-07-20 00:22
Jak polityka bezpieczeństwa może chronić firmę przed cyberprzestępcami? © Sergey Nivens - Fotolia.com
Przeczytaj także: Ataki hakerskie generują wysokie straty
Według badań przeprowadzonych w Europie i Stanach Zjednoczonych, pracownicy firm tracą do 30% swojego czasu pracy na prywatne sprawy. Mnożąc liczbę godzin spędzanych na wykonywaniu czynności niezwiązanych z pracąPracownicy często wykorzystują komputery biurowe, aby komunikować się za pośrednictwem portali społecznościowych, udostępniać odsyłacze do rozrywki online lub pobierać pliki z podejrzanych zasobów. Jednocześnie, portale społecznościowe są aktywnie wykorzystywane przez cyberprzestępców do przeprowadzania ataków phishingowych i rozprzestrzeniania szkodliwego oprogramowania. Wiele prywatnych blogów, stron oferujących rozrywkę oraz serwisów współdzielenia plików, serwisów śledzenia torrentów oraz pobieranych z nich plików jest zainfekowanych szkodliwym oprogramowaniem. Hasła do kont e-mail są regularnie łamane i kradzione.
Artykuł opisuje kilka problemów, jakie mogą wyniknąć z niewłaściwego wykorzystywania komputerów biurowych, i pokazuje, w jaki sposób można zapobiec podobnym incydentom w sieci korporacyjnej.
Ataki ukierunkowane
Zagrożenia, z jakimi sykają się użytkownicy każdego dnia, zwykle są przeznaczone dla „odbiorców” masowych, dlatego zainstalowane na ich komputerach rozwiązanie antywirusowe w zupełności poradzi sobie z odparciem większości ataków. Inaczej jest w przypadku ataków ukierunkowanych: są przeprowadzane ukradkiem, często z zastosowaniem niestandardowego podejścia; są niezwykle wyrafinowane i dobrze zorganizowane. W celu osiągnięcia swoich celów oszuści stosują najskuteczniejszą broń, przy pomocy której mogą wykorzystać istniejąca lukę w oprogramowaniu lub portalu społecznościowym.
fot. Sergey Nivens - Fotolia.com
Jak polityka bezpieczeństwa może chronić firmę przed cyberprzestępcami?
Socjotechnika
W 2009 roku ponad 20 największych firm z branży oprogramowania, takich jak Google, Adobe, Juniper oraz Yahoo, padło ofiarą ataku ukierunkowanego Operation Aurora. W jednej z odmian tego ataku pracownicy firmy zostali zwabieni na szkodliwe strony za pośrednictwem portali społecznościowych i komunikatorów internetowych. Przy pomocy socjotechniki oszuści zapoznawali się ze swoimi potencjalnymi ofiarami, zdobywali ich zaufanie i robili wszystko, co niezbędne, aby zmusić swoje ofiary do kliknięcia odsyłacza.
Doświadczenie pokazuje, że w tym celu wystarczy:
- Zebrać z portali społecznościowych powszechnie dostępne informacje na temat użytkownika, jego zainteresowań, preferencji i kontaktów;
- Stworzyć konto w oparciu o zainteresowania ofiary i jej dane osobowe (rok i miejsce urodzenia, szkoła, uczelnia wyższa);
- Zostać „przyjacielem” osób z listy kontaktów ofiary;
- Skontaktować się z ofiarą przy pomocy stworzonej wcześniej „przykrywki”.
Gdy konto zostanie tak precyzyjnie przygotowane, istnieje duża szansa, że potencjalne ofiary klikną podejrzany odsyłacz. Jeżeli ofiara nie chwyci przynęty, oszust może zastosować bardziej wyrafinowany chwyt, włamując się na konto użytkownika, do którego ofiara ma pełne zaufanie, i wysyłając stamtąd odsyłacze. Często nie jest to wcale trudne, szczególnie gdy zaufane kontakty ofiary obejmują potencjalnie podatne na wykorzystanie kategorie użytkowników – osoby starsze, dzieci i młodzież.
W ataku ukierunkowanym odsyłacz zazwyczaj prowadzi ofiarę na stronę, która zawiera zestaw exploitów 0-day pozwalających przestępcom uzyskać dostęp do podatnych na ataki komputerów. Nie ma wątpliwości, że komunikując się za pośrednictwem portali społecznościowych z komputera firmowego, pracownicy mogą nieświadomie pomóc hakerom przeniknąć do sieci korporacyjnej.
Ataki typu „Watering Hole”
Niemniej groźne od ataków ukierunkowanych za pośrednictwem portali społecznościowych są ataki typu „Watering Hole”. Ataki te polegają na zidentyfikowaniu i zainfekowaniu stron, które są najczęściej odwiedzane przez pracowników firmy. Ostatnio zainfekowana została strona amerykańskiego ministra pracy, przypuszcza się jednak, że prawdziwym celem ataku był Departament Energii: przestępcy próbowali zainfekować komputery pracowników Departamentu Energii, którzy regularnie odwiedzali stronę Ministerstwa Pracy.
Gdy pracownik atakowanej firmy otwiera zainfekowaną stronę, zaimplementowany na stronie kod ukradkowo przekierowuje przeglądarkę na szkodliwą stronę, która zawiera zestaw exploitów 0-day. Umieszczone na zainfekowanych stronach internetowych szkodliwe oprogramowanie, np. skrypt serwera, często działa w sposób selektywny, tak aby zaimplementować szkodliwy kod na stronach wysyłanych do użytkownika, który jest najistotniejszą osobą dla atakowanej firmy. Dzięki temu oszuści mogą ukryć atak ukierunkowany przed firmami antywirusowymi i ekspertami z dziedziny bezpieczeństwa IT.
Oszuści próbują infekować zaufane, legalne strony. W takich przypadkach nawet gdy użytkownicy muszą wykonać dodatkowe kroki w celu uruchomienia exploita – włączyć JavaScript, zezwolić na wykonywanie appleta Javy w celu potwierdzenia wyjątku w polityce bezpieczeństwa itd. – istnieje możliwość, że nieświadomie klikną „Zezwól” oraz „Potwierdź”.
oprac. : Katarzyna Sikorska / eGospodarka.pl
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)